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本 书 共 分 为 7 章 ,深入 全面、 系统 地 分 析 了 物 联 网 安全 中 的 系统 结构 ,关键 技术 及 其 典型 的 解决 方 
案 。 其 中 ,第 1 章 是 物 联网 概述 ; 第 2 章 是 物 联网 安全 概述 ; 第 3 章 是 信息 安全 技术 基础 ; 第 4 章 是 物 联 
网 感知 层 安 全 技术 ,分 析 了 RFID 安全 技术 无线 传感器 网 络 安全 技术 和 物 联网 终端 安全 ; 第 5 章 是 物 联 
网 网 络 层 安全 技术 ,分 析 了 核心 网 安全 技术 、 无 线 网 络 安全 技术 和 移动 通信 系统 安全 ; 第 6 章 是 物 联网 应 
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物 联网 技术 的 发 展 和 应 用 能 够 给 人 们 的 工作 和 生活 带 来 便利 ,可 以 大 大 提高 工作 效率 
和 生活 质量 ,推动 国民 经 济 的 大 力 发 展 。 但 是 ,我 们 也 必须 清醒 地 认识 到 物 联 网 的 应 用 存在 
巨大 的 安全 隐患 ,信息 化 与 网 络 化 带 来 的 风险 问题 在 物 联 网 中 变 得 更 加 迫切 和 复杂 。 因 此 ， 
在 物 联 网 时 代 ,安全 问题 面临 前 所 未 有 的 挑战 ,如 何 建立 安全 、 可 靠 的 物 联网 系统 是 摆 在 人 
们 面前 的 迫切 问题 。 

为 此 ,本 书 注重 于 物 联网 安全 的 基础 知识 和 典型 应 用 ,理论 联系 实际 ,比较 全 面 地 论述 
了 物 联 网 安全 知识 .技术 体系 和 相关 理论 ,对 物 联网 安全 的 关键 技术 进行 了 详细 的 分 析 。 在 
写作 构思 和 内 容 编排 上 ,本 书 的 内 容 图 文 并 茂 、 便 于 阅读 ,力求 使 读者 在 物 联网 安全 方面 打 
好 扎实 的 基础 ,并 且 使 读者 不 仅 对 物 联 网 安全 技术 有 比较 清晰 的 理解 和 认识 ,还 能 够 进一步 
深入 地 学 习 和 人 掌握 相关 的 知识 。 

本 书面 向 的 主要 对 象 包括 高 等 院 校 物 联网 工程 、 信 息 安全 、 计 算 机 科学 及 相关 专业 的 研 
究 生 和 本 科 高 年 级 学 生 、 从 事 信 息 和 网 络 安全 研究 的 科学 工作 者 、 从 事物 联网 安全 应 用 和 管 
理 方面 工作 的 工程 技术 人 员 等 。 

本 书 共 分 为 7 童 ,深入 、 全 面 、 系 统 地 分 析 了 物 联网 安全 领域 中 的 系统 结构 ,关键 技术 及 
其 典型 的 解决 方案 。 

第 1 章 是 物 联网 概述 ,简要 地 介绍 了 物 联 网 的 起 源 与 发 展 , 物 联 网 的 定义 与 特征 、 物 联 
网 的 体系 架构 , 物 联网 的 关键 技术 、 物 联网 的 标准 体系 和 物 联 网 的 典型 应 用 等 内 容 。 

第 2 章 是 物 联 网 安全 概述 ,简要 地 介绍 了 物 联网 的 安全 特征 、 物 联网 安全 体系 结构 、 感 
知 层 安全 概述 、 网 络 层 安全 概述 和 应 用 层 安 全 概述 等 内 容 。 

第 3 章 是 信息 安全 技术 基础 ,主要 介绍 了 密码 学 概论 、 常 用 加 密 技 术 、 密 码 技术 的 应 用 
和 常用 安全 协议 等 内 容 。 

第 4 章 是 物 联网 感知 层 安全 技术 ,深入 、 详 细 地 分 析 了 RFID 安全 技术 无线 传感器 网 
络 安 全 技术 和 物 联网 终端 安全 等 内 容 。 

第 5 章 是 物 联 网 网 络 层 安全 技术 ,深入 、 详 细 地 分 析 了 核心 网 安全 技术 无线 网 络 安全 
技术 和 移动 通信 系统 安全 等 内 容 。 

第 6 章 是 物 联网 应 用 层 安全 技术 ,深入 、 详 细 地 分 析 了 云 计算 安全 ,中 间 件 安全 ,数据 安 
全 、 隐 私 安全 ,位 置 隐私 保护 .轨迹 隐私 保护 等 内 容 。 

第 7 章 是 物 联网 安全 管理 概述 ,简要 地 介绍 了 物 联 网 安全 管理 概述 \ 信 息 安全 标准 化 组 
织 ,信息 安 全 管理 模型 .信息 安全 管理 标准 和 物 联 网 安全 风险 评估 等 内 容 。 

本 书 具 有 如 下 特色 : 

中 内 容 新 颖 。 本 书 紧 扣 物 联网 安全 技术 的 发 展 方向 ,内 容 新 颖 、 分 析 透 彻 . 反 映 最 新 的 
主流 技术 。 融 入 了 国内 外 最 新 的 物 联网 安全 知识 和 最 新 的 物 联网 安全 的 科研 成 果 。 

@ 关键 技术 。 本 书 全 面 \ 深 入 、 系 统 地 论述 物 联 网 安全 的 关键 技术 ,包括 RFID 安全 、 


I 


A 
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无 线 传感器 网 络 安全 ,核心 网 安全 、 云 计算 安全 、 隐 私 安 全 等 。 

@ 结构 严谨 。 提 供 清 晰 完整 的 知识 体系 ,全 书 结构 严谨 ,以 物 联网 安全 体系 结构 为 基 
础 ,按照 "从 下 层 到 上 层 的 .从 概括 到 深入 ”的 原则 进行 编写 ,便于 读者 从 总 体 上 理解 物 联 网 
安全 的 内 涵 。 

@ 图 文 并 茂 。 本 书 的 内 容 由 浅 入 深 、 易 于 理解 ,从 具体 的 物 联网 安全 技术 应 用 案例 讲 
起 ,图 文 并 茂 ,力图 将 深奥 的 、 复 杂 的 理论 转化 为 便于 读者 理解 的 知识 。 

回 便于 教学 。 为 了 方便 教师 的 教学 , 随 书 还 配备 了 教师 授课 用 的 、 详 细 的 教学 课件 
(PowerPoint 文件 ) ,其 可 以 从 清华 大 学 出 版 社 网 站 www. tup. com. cn 下 载 。 

本 书 由 广东 佛山 科学 技术 学 院 的 余 智 豪 .马莉 、 胡 春 萍 共同 编著 。 余 智 豪 编写 了 第 1 
章 . 第 2 章 . 第 4 章 . 第 5 章 和 第 7 章 的 全 部 内 容 ,还 编写 了 第 6 章 有 关 隐 私 安全 的 内 容 ; 马 
莉 编写 了 第 3 章 全 部 内 容 和 第 6 章 的 关于 云 计 算 安 全 的 内 容 ; 胡 春 萍 编写 了 第 6 章 的 关于 
数据 安全 部 分 的 内 容 。 全 书 由 余 智 豪 策划 .主编 .审核 修改 和 定稿 。 

在 本 书 的 编写 过 程 中 ,编者 参考 了 国内 外 大 量 的 物 联网 及 计算 机 网 络 安全 方面 的 文献 、 
书刊 .相关 的 网 站 等 相关 资料 。 在 此 ,对 所 有 的 被 参考 和 被 引用 的 文献 作者 表示 衷心 的 感 
谢 。 最 后 ,还 要 感谢 所 有 对 本 书 的 写作 和 出 版 提供 了 帮助 的 朋友 。 

由 于 编者 的 水 平和 学 识 有 限 ,本 书 难免 存在 错误 和 不 有 之 处 ,恳请 广大 读者 不 音 赐 教 。 
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(1 物 联 网 的 起 源 与 发 展 


首先 ,让 我 们 描绘 一 下 未 来 应 用 物 联 网 技术 的 美好 生活 一 一 

在 将 来 的 某 一 天 , 当 你 正在 办 公 室 里 忙碌 时 ,也 许 会 担心 在 学 校 里 上 学 的 孩子 的 安全 。 
针对 这 个 问题 ,只 要 给 孩子 佩戴 一 块 智能 定位 的 手表 ,然后 在 你 的 手机 或 办 公用 的 电脑 的 电 
子 地 图 上 设 定 一 个 边界 ,这 样 ,一 旦 孩子 的 活动 范围 超出 了 限定 的 区 域 ,手机 或 电脑 就 会 自 
动 地 发 出 报警 信号 。 冬 天 , 当 你 忙碌 了 一 整 天 ,准备 下 班 回 家 的 时 候 , 只 要 提前 用 手机 简单 
地 发 出 一 条 指令 ,就 可 以 指挥 停 在 户外 的 汽车 化 雪 解 冻 ; 你 还 可 以 遥控 家 中 的 空调 开始 工 
作 ,遥控 微波 炉 开 始 熬 汤 ,遥控 电 饭 锅 开始 煮 饭 ; 也 许 你 在 下 班 回 家 的 路 上 买 了 一 瓶 美酒 ， 
只 要 简单 地 用 手机 扫描 一 下 电子 标签 ,就 可 以 识别 这 瓶 酒 的 真 伪 ; 当 你 的 汽车 快 回 到 家 门 
口 时 ,车 库 就 会 聪明 地 认 出 了 你 ,自动 地 为 你 打开 大 门 ; 当 你 迈进 客厅 ,电视 自动 播放 你 喜 
爱 的 节目 …… 以 上 这 些 美好 的 设想 ,都 可 以 用 物 联网 技术 轻易 地 实现 。 

美国 微软 公司 总 裁 比 尔 。 盖 茨 先生 的 智能 家 居 ,就 是 物 联网 技术 应 用 的 典型 案例 。 这 
幢 豪 宅 依 山 傍 水 , 雄 路 于 美国 华盛顿 湖 东 岸 , 修 建 于 20 世纪 90 年 代 , 从 设计 、 施 工 到 建成 ， 
整整 花 了 七 年 时 间 ,耗资 6000 万 美元 。 整 幢 建 筑 物 共 铺设 了 长 达 80km 的 光纤 和 电缆 ,家 
中 几乎 所 有 的 设施 都 通过 网 络 连接 在 一 起 。 大 门 外 安装 有 天 气 感知 器 ,可 以 根据 各 项 天 气 
指标 通知 户 内 的 空调 系统 调节 室内 的 温度 和 湿度 ,主人 在 回 家 途中 只 要 用 手机 发 布 指令 ,家 
中 的 浴缸 就 开始 放水 调 温 , 为 主人 洗澡 做 好 准备 。 更 为 奇妙 的 是 ,每 一 位 来 访 的 客人 都 可 以 
领 到 一 个 含有 电子 标签 的 胸针 ,胸针 中 存放 了 每 位 客人 对 灯光 的 亮度 和 颜色 .电视 频道 、 室 
内 的 通风 温度 ,湿度 .音乐 绘画 等 的 个 人 喜好 。 当 客人 走 进 某 个 房间 时 ,电子 标签 就 会 通 
过 传 感 系统 与 房间 中 的 设备 交换 信息 ,让 所 有 的 设备 自动 地 将 环境 调整 到 宾至如归 的 境界 ， 
使 客人 感到 最 舒适 、 最 满意 。 

物 联网 的 应 用 ,可 以 大 大 改善 我 们 的 工作 和 生活 ,帮助 我 们 更 好 地 实现 对 一 切 智能 物体 
的 远程 管理 ,让 我 们 轻松 地 做 到 “运筹 帷 幅 之 中 ,决胜 千里 之 外 ”。 

早 在 1991 年 ,美国 麻 省 理工 学 院 (MIT) 的 凯 文 。 奥 斯 通 教授 (Kevin Ashton) ,就 已 经 
首次 提出 了 物 联网 的 概念 。 

1995 年 ,美国 微软 公司 总 裁 比 尔 。 盖 茨 先 生 在 其 著作 《未 来 之 路 ;一 书 中 也 提 及 了 物 联 
网 ,但 是 并 没有 引起 人 们 的 重视 。 
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1999 年 美国 麻 省 理工 学 院 (MIT) 建 立 了 自动 识别 中 心 (Auto-ID) ,提出 “万 物 皆 可 通过 
网 络 互联 ”, 阐 明了 物 联 网 的 基本 概念 。 早 期 的 物 联网 是 基于 射频 识别 (RFID) 技 术 的 物流 
网 络 。 

2004 年 日 本 总 务 省 (MIC) 提 出 u-Japan 计划 ,该 战略 力求 实现 人 与 人 、 物 与 物 . 人 与 物 
之 间 的 连接 ,希望 将 日 本 建设 成 一 个 随时 、 随 地 ,任何 物体 、 任 何人 均 可 连接 的 泛 在 网 络 
社会 。 

2005 年 11 月 17 日 ,在 突尼斯 举行 的 信息 社会 世界 峰会 (WSIS) 上 ,国际 电信 联盟 
(ITU) 发 布 (ITU 互联 网 报告 2005: 物 联网 》, 给 出 了 “ 物 联网 ”的 定义 。 此 时 , 物 联网 的 定义 
和 范围 已 经 发 生 了 变化 ,覆盖 范围 有 了 较 大 的 拓展 ,不 再 只 是 指 基于 RFID 技术 的 物 联网 。 

2006 年 韩国 确立 了 uKorea 计划 ,该 计划 旨 在 建立 无 所 不 在 的 社会 (ubiquitous 
society) ,在 民众 的 生活 环境 里 建设 智能 型 网 络 ( 如 IPv6、BcN、USN) 和 各 种 新 型 应 用 (如 
DMB、Telematics、RFID) ,让 民众 可 以 随时 随地 享有 科技 智慧 服务 。2009 年 韩国 通信 委员 
会 出 台 了 《 物 联网 基础 设施 构建 基本 规划 》, 将 物 联 网 确定 为 新 增长 动力 ,提出 到 2012 年 实 
现 * 通 过 构建 世界 最 先进 的 物 联 网 基础 实施 ,打造 未 来 广播 通信 融合 领域 超一流 信息 通信 技 
术 强 国 ” 的 目标 。 

2009 年 欧盟 执 委 会 发 表 了 欧洲 物 联 网 行动 计划 ,描绘 了 物 联网 技术 的 应 用 前 景 ,提出 
欧盟 政府 要 加 强 对 物 联网 的 管理 ,促进 物 联 网 的 发 展 。 

2009 年 1 月 28 日 ,IBM 首次 提出 “智慧 地 球 ” 概 念 ,建议 美国 政府 投资 新 一 代 的 智慧 型 
基础 设施 。 当 年 ,美国 将 新 能 源 和 物 联 网 列 为 振兴 经 济 的 两 大 重点 。 

2009 年 8 月 ,温家宝 总 理 在 无 锡 视察 时 提出 “感知 中 国 ”, 无 锡 市 率先 建立 了 “感知 中 
国 ” 研 究 中 心 ,中 国 科学 院 、 运 营 商 ,多 所 大 学 在 无 锡 建 立 了 物 联 网 研究 院 。 物 联网 被 正式 列 
为 国家 五 大 新 兴 战 略 性 产业 之 一 , 写 人 了 十 一 届 全 国人 大 三 次 会 议政 府 工 作 报告 , 物 联网 在 
中 国 受到 了 全 社会 极 大 的 关注 。 


(4 物 联网 的 定义 与 特征 


1.2.1 物 联 网 的 定义 


关于 物 联 网 有 许多 种 不 同 的 定义 。 各 个 领域 的 专家 和 学 者 们 都 先后 提出 了 自己 的 定 
义 ,众说 纷 颖 、 各 抒 已 见 。 这 些 定义 是 专家 和 学 者 们 分 别 从 自己 的 研究 角度 提出 来 的 。 在 本 
书 中 ,笔者 选择 最 具 代表 性 的 几 种 定义 供 读者 们 参考 : 

(1) 物 联 网 是 实现 物体 与 物体 连接 的 互联 网 络 。 英语 中 “ 物 联网 ”一 词 为 Internet of 
Things( 缩 写 为 IoT) ,可 以 翻译 成 物 与 物 的 互联 网 。 

(2) 美国 麻 省 理工 学 院 的 自动 识别 中 心 (Auto-ID) 指 出 : 物 联网 把 所 有 的 物品 通过 射 
频 识 别 和 条 形 码 等 信息 传 感 设备 ,与 互联 网 紧密 地 连接 起 来 ,实现 智能 化 的 识别 和 管理 。 

(3) 物 联 网 是 指 将 各 种 信息 传 感 设 备 ,如 射频 识别 (RFID) 装 置 .红外 感应 器 、 全 球 定位 
系统 .激光 扫描 器 与 互联 网 结合 起 来 。 其 目的 是 把 所 有 物品 连接 在 一 起 。 

(4) 物 联 网 经 过 接口 与 无 线 网 络 (也 含 固定 网 络 ) ,使 物体 与 物体 之 间 实 现 沟通 和 对 话 ， 
以 及 使 人 与 物体 之 间 实 现 沟通 与 对 话 。 
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(5) 中 国电 信 对 物 联 网 的 定义 是 : 物 联网 是 基于 特定 的 终端 ,以 有 线 或 无 线 等 接 人 手 
段 ,为 集团 和 家 庭 客户 提供 机 器 到 机 器 、 机 器 到 人 的 解决 方案 ,满足 客户 对 生产 过 程 、. 家 居 生 
活 监控 ,指挥 调度 .远程 数据 采集 和 测量 .远程 诊疗 等 方面 的 信息 化 需求 。 

以 上 几 种 对 物 联网 的 定义 都 具有 一 定 的 局 限 性 ,目前 比较 准确 的 是 2005 年 国际 电信 联 
盟 (ITU) 给 出 的 定义 : 物 联 网 是 通过 射频 识别 .红外 感应 器 .全球 定 位 系统 、 激 光 扫 描 器 等 
信息 传 感 设 备 ,按照 约定 的 协议 ,把 任何 物品 与 互联 网 相连 接 ,进行 信息 交换 和 通信 ,以 实现 
对 物品 的 智能 化 识别 .定位 .跟踪 ,监控 和 管理 的 一 种 网 络 。 

物 联网 有 狭义 与 广义 之 分 ,狭义 的 物 联 网 是 指 物 与 物 之 间 的 连接 和 信息 交换 ; 广义 的 
物 联网 不 仅 包 括 物 与 物 的 信息 交换 ,还 包括 人 与 物 、 人 与 人 之 间 的 广泛 的 连接 和 信息 交换 。 
广义 的 物 联网 是 一 种 基于 泛 在 网 及 其 多 制式 、 多 系统 、 多 终端 等 综合 的 网 络 。 

在 广义 物 联 网 中 不 仅 是 机 器 到 机 器 (M2M) ,也 包括 机 器 到 人 (M2P)、 人 到 人 (P2P)、 人 
到 机 器 (P2M) 之 间 广 泛 的 通信 和 信息 的 交流 。 而 在 这 个 物 联网 中 的 机 器 (M) ,定义 为 可 以 
获取 信息 的 各 种 终端 ,它们 包括 各 类 传感器 、RFID 读 写 器 、 智 能 手机 PC、 平板 电脑 .摄像 
头 、 电 子 望 远 镜 、GPS 等 。 

总 之 , 物 联 网 可 以 感知 到 人 类 需要 的 各 种 信息 终端 ( 即 传感器 ) ,这 些 信息 终端 都 被 连接 
到 泛 在 网 上 。 这 里 所 说 的 泛 在 网 ,几乎 豆 括 了 当代 各 种 信息 通信 网 络 ,不 仅仅 包括 固定 的 互 
联网 和 移动 的 互联 网 ,还 包括 如 电信 固定 网 、 无 线 移动 网 、 广 播 电 视 网 和 各 种 其 他 专用 网 络 。 
并 靠 这 些 网 络 的 整合 将 各 种 智能 终端 与 人 紧密 联系 在 一 起 ,构成 了 一 个 任何 时 间 、 任 何 地 点 
都 可 以 取得 任何 服务 的 物 联 网 。 物 联网 的 最 终 目 的 是 为 人 类 提供 各 种 现代 化 服务 。 


1.2.2 物 联网 的 特征 
根据 物 联 网 实现 的 功能 来 进行 分 析 , 物 联网 具备 以 下 的 四 个 特征 : 
1. 全 面 感知 


全 面 感知 是 指 利用 RFID、 无 线 传感器 、 条 形 码 \ 二 维 码 等 识别 设备 随时 随地 获取 物体 
的 信息 ; 


2. 可 靠 传输 


可 靠 传输 是 指 通过 各 种 接 人 网 络 与 互联 网 的 融合 ,将 物体 的 信息 实时 、 可 靠 、 准 确 地 
传输 ; 


3. 智能 处 理 


智能 处 理 是 指 利用 云 计算 、 模 糊 识别 等 各 种 智能 计算 技术 ,对 海量 的 物体 信息 进行 分 析 
和 处 理 , 对 物体 实施 智能 化 的 控制 ; 


4. 综合 应 用 


综合 应 用 是 根据 各 个 行业 、 各 种 业务 的 具体 特点 ,形成 各 种 单独 的 业务 应 用 ,或 者 整个 
行业 及 系统 的 建设 应 用 方案 。 
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(3 物 联网 的 体系 结构 


物 联 网 的 体系 结构 如 图 1-1 所 示 。 


绿色 农业 公共 安全 远程 医疗 智能 交通 | 
应 
办 工业 监控 城市 管理 智能 家 居 环境 昨 测 | 
云 计算 平台 | 
核心 网 | 
网 
络 
层 Wi-Fi WiMAX 蓝牙 ZigBee 3G/4G GPS 
RFID 读 写 器 汇聚 结 点 
知 移动 设备 智能 终端 
层 RFID 标 签 传感器 结 点 


1.3.1 感知 层 


图 1-1 物 联网 体系 架构 


到 目前 为 止 , 物 联网 的 体系 结构 还 没有 统一 的 标准 。 在 本 书 中 ,我 们 采用 业界 公认 的 物 
联网 体系 结构 ,分 为 三 个 层次 : 感知 层 、 网 络 层 、 应 用 层 。 


感知 层 由 传感器 结 点 和 接 入 网 关 等 组 成 ,传感器 感知 外 部 世界 的 温度 、 湿 度 、 声 音 和 图 
像 等 信息 ,并 传送 到 上 层 的 接 入 网 关 , 由 接 入 网 关 将 收集 到 的 信息 通过 网 络 层 提交 到 后 台 
理 。 当 后 台 对 数据 处 理 完毕 后 ,发送 执行 命令 到 相应 的 执行 机 构 ,完成 对 被 控 对 象 或 被 测 对 
象 的 控制 参数 调整 或 者 发 出 某 种 信号 以 实现 远程 监控 。 

感知 层 是 物 联网 技术 发 展 和 应 用 的 基础 ,涉及 REFID、, 近 距离 无 线 通信 、 传 感 器 技术 .无 


线 传 感 网 等 技术 。 


射频 识别 技术 (Radio Frequency Identification,RFID) ,又 称 为 无 线 射 频 识 别 , 这 是 一 种 
近 距 离 通信 技术 ,通过 无 线 电讯 号 识别 特定 目标 并 读 写 相 关 数 据 , 而 不 需要 识别 系统 与 特定 
目标 之 间 建立 机 械 或 光学 接触 。RFID 常用 的 工作 频率 可 分 为 低频 (125k 一 134. 2kHz)、 高 
频 (13.56MHz) 、 超 高 频 和 微波 等 。RFID 读 写 器 也 分 为 移动 式 和 固定 式 两 类 。RFID 技术 
的 应 用 很 广 ,例如 : 图 书馆 .门禁 系统 、 食 品 安全 等 领域 。 

粘贴 或 者 安装 在 物品 上 的 RFID 标签 ,以 及 用 来 识别 RFID 信息 的 读 写 器 等 ,都 属于 物 
联网 的 感知 层 。 在 感知 层 中 ,被 检测 的 信息 是 RFID 标签 中 与 它 所 粘贴 的 物品 对 应 的 物品 
身份 标识 。 高 速 公路 不 停车 收费 系统 、 超 市 仓储 管理 系统 等 都 是 RFID 典型 的 应 用 案例 。 

近 距 离 无 线 通 信和 技术 (Near Field Communication, NFC) 是 一 种 短 距离 的 高 频 无 线 通 信 
技术 ,允许 电子 设备 之 间 进 行 非 接触 式 点 对 点 数据 传输 ,在 10cm(3. 9 英寸 ) 内 ,交换 数据 。 
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NFC 技术 由 免 接触 式 射 频 识别 (RFID) 演 变 而 来 ,由 飞利浦 公司 和 索尼 公司 共同 开发 的 
NFC 是 一 种 非 接触 式 识别 和 互联 技术 ,可 以 在 移动 设备 ,消费 类 电子 产品 .PC 和 智能 控件 
工具 间 进 行 近 距 离 无 线 通 信 。 

近 距 离 无 线 通 信和 是 一 种 短 距离 高 频 的 无 线 电 技术 ,在 13. 56MHz 频率 运行 于 20 厘米 
距离 内 。 其 传输 速度 有 106kbps、212kbps 或 424kbps 三 种 。 目 前 近 场 通信 已 通过 成 为 
ISO/IEC IS 18092 国际 标准 .EMCA-340 标准 与 ETSI TS 102 190 标准 。NFC 采用 主动 和 
被 动 两 种 读 取 模 式 。 

传感器 技术 是 实现 测试 与 自动 控制 的 重要 环节 。 在 物 联 网 感知 层 中 ,传感器 的 主要 特 
征 是 能 准确 传递 和 检测 出 被 测 对 象 某 一 形态 的 信息 ,并 将 其 转换 成 男 一 形态 的 信息 。 具 体 
地 说 传感器 是 指 那些 对 被 测 对 象 的 某 一 确定 的 信息 具有 感受 (或 响应 ) 与 检 出 功能 ,并 使 之 
按照 一 定 规律 转换 成 与 之 对 应 的 可 输出 信号 的 元 器 件 或 装置 。 如 果 没 有 传感器 对 被 测 对 象 
的 原始 信息 进行 准确 可 靠 地 捕获 和 转换 ,一 切 准确 的 测试 与 控制 都 将 无 法 实现 。 

传感器 网 络 实现 了 数据 的 采集 、 处 理 和 传输 三 种 功能 。 它 与 通信 技术 和 计算 机 技术 共 
同 构成 信息 技术 的 三 大 支柱 。 

无 线 传感器 网 络 (Wireless Sensor Network，WSN) 是 由 大 量 的 静止 或 移动 的 传感器 以 
自 组 织 和 多 跳 的 方式 构成 的 无 线 网 络 ,以 协作 地 感知 采集、 处理 和 传输 网 络 覆 盖 地 理 区 域 
内 被 感知 对 象 的 信息 ,并 最 终 把 这 些 信 息 发 送 给 物 联 网 的 所 有 者 。 

无 线 传感器 网 络 所 具有 的 众多 类 型 的 传感器 ,可 探测 包括 地 震 、. 电 磁 、 温 度 .湿度 .噪声 、 
光 强 度 .压力 .土壤 成 分 .移动 物体 的 大 小 .速度 和 方向 等 周边 环境 中 多 种 多 样 的 现象 。 洪 在 
的 应 用 领域 可 以 归纳 为 : 军事 、 航 空 防爆、 救灾 、 环 境 、 医 疗 \ 保 健 、 家 居 、 工 业 、 商 业 等 领域 。 


1.3.2 网 络 层 


在 物 联 网 的 体系 架构 中 ,网 络 层 位 于 中 间 , 它 向 下 与 感知 层 相 连接 ,向 上 则 与 应 用 层 相 
连接 ,高 效 .稳定 、 实 时 ,安全 地 传输 上 层 与 下 层 之 间 的 数据 。 

网 络 层 是 物 联网 的 神经 中 枢 和 大 脑 。 实 现 信 息 传递 和 处 理 。 网 络 层 包 括 通信 与 互联 网 
的 融合 网 络 .网络 管理 中 心 和 信息 处 理 中 心 等 。 网 络 层 将 感知 层 获取 的 信息 进行 传递 和 处 
理 , 类 似 于 人 体 结构 中 的 神经 中 枢 和 大 脑 。 

网 络 层 的 主要 功能 是 传输 和 预 处 理 感 知 层 所 获得 的 数据 。 这 些 数据 可 以 通过 移动 通信 
网 互联网、 企业 内 部 网 、 各 类 专线 网 .局 域 网 、 城 域 网 等 进行 传输 。 特 别 是 在 三 网 (有 线 电 话 
网 有 线 电 视 网 、 光 纤 网 ) 融 合 后 ,有 线 电视 网 也 能 承担 物 联 网 网 络 层 的 功能 ,有 利于 物 联 网 
的 加 快 推进 。 网 络 层 所 需要 的 关键 技术 包括 核心 网 技术 、 近 距离 无 线 网 络 技 术 和 移动 通信 
技术 等 。 

物 联网 的 网 络 层 是 建立 在 现 有 的 互联 网 等 通信 网 络 的 基础 上 的 。 物 联网 通过 各 种 接 人 
设备 与 互联 网 相连 。 例 如 手机 付费 系统 中 由 刷卡 设备 将 内 置 手 机 的 RFID 信息 采集 上 传 到 
互联 网 ,网 络 层 完成 后 台 鉴 权 认证 ,并 从 银行 网 络 划 账 。 

网 络 层 中 的 感知 数据 管理 与 处 理 技术 是 实现 以 数据 为 中 心 的 物 联 网 的 核心 技术 ,包括 
传 感 网 数据 的 存储 查询、 分 析 、 挖 掘 和 理解 ,以 及 基于 感知 数据 决策 的 理论 与 技术 。 
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1.3.3 应 用 层 


应 用 层 位 于 物 联 网 体系 结构 的 最 上 层 。 应 用 层 与 各 种 不 同 的 行业 相 结合 ,实现 广泛 智 
能 化 。 应 用 层 是 物 联网 与 行业 专业 技术 的 深度 融合 ,与 行业 需求 结合 ,实现 行业 智能 化 ,这 
类 似 于 人 的 社会 分 工 , 最 终 构 成 人 类 社会 。 

在 各 层 之 间 ,信息 不 是 单 向 传递 的 ,也 有 交互 、 控 制 等 ,所 传递 的 信息 多 种 多 样 , 这 其 中 
关键 是 物品 的 信息 ,包括 在 特定 应 用 系统 范围 内 能 唯一 标识 物品 的 识别 码 和 物品 的 静态 与 
动态 信息 。 

云 计 算 平台 作为 海量 感知 数据 的 存储 、 分 析 平 台 , 将 是 物 联网 的 重要 组 成 部 分 ,也 是 应 
用 层 众 多 应 用 的 基础 。 在 产业 链 中 ,通信 和 网络 运营 商 和 云 计算 平台 提供 商 将 在 物 联网 中 占 
据 重要 的 地 位 。 

应 用 层 主 要 是 根据 行业 特点 ,借助 物 联网 的 技术 手段 ,开发 各 类 的 行业 应 用 解决 方案 ， 
将 物 联网 的 优势 与 行业 的 生产 经 营 、 信 息 化 管理 、 组 织 调度 结合 起 来 ,形成 各 类 的 物 联网 解 
决 方案 ,构建 智能 化 的 行业 应 用 。 如 交通 行业 ,涉及 的 就 是 智能 交通 技术 ; 电力 行业 采用 的 
是 智能 电网 技术 ,物流 行业 采用 的 是 智慧 物流 技术 等 。 物 联网 在 各 行业 的 应 用 还 涉及 系统 
集成 技术 ,资源 打包 技术 等 。 

物 联网 应 用 层 利用 经 过 分 析 处 理 的 感知 数据 ,为 各 行业 的 用 户 提供 丰富 的 特定 服务 。 
物 联网 的 应 用 可 分 为 监控 型 (物流 监控 ,污染 监控 )、 查 询 型 (智能 检索 、 远 程 抄 表 ) 、 控 制 型 
(智能 交通 ,智能 家 居 、 路 灯 控 制 ) ,扫描 型 (手机 钱包 、 高 速 公 路 不 停车 收费 ) 等 。 

应 用 层 是 物 联网 发 展 的 目的 ,软件 开发 ,智能 控制 技术 将 会 为 用 户 提供 丰富 多 彩 的 物 联 
网 应 用 。 各 种 行业 和 家 庭 应 用 的 开发 将 会 推动 物 联网 的 普及 ,也 给 整个 物 联 网 产业 链 带 来 
利润 。 


人 4 物 联网 的 关键 技术 


1.4.1 RFID 技术 


射频 识别 (Radio Frequency IDentification,RFID) 是 一 种 无 线 通信 技术 ,可 以 通过 无 线 
电信 号 识别 特定 目标 并 读 写 相关 数据 ,而 无 须 识 别 系统 与 特定 目标 之 间 建 立 机 械 或 者 光学 
接触 。 

无 线 电 的 信号 是 通过 调 成 无 线 电 频率 的 电磁 场 ,把 数据 从 附着 在 物品 上 的 电子 标签 上 
传送 出 去 ,以 自动 辨识 与 追踪 该 物品 。 某 些 电 子 标签 在 工作 时 ,能 够 从 读 写 器 发 出 的 电磁 场 
中 得 到 能 量 , 并 不 需要 电池 ; 也 有 些 电子 标签 本 身 配 有 电源 ,并 可 以 主动 发 出 无 线 电波 ( 调 
成 无 线 电 频率 的 电磁 场 ) 。 标 签 包含 了 电子 存储 的 信息 ,在 几米 之 内 都 可 以 被 读 写 器 识别 。 
与 条 形 码 不 同 的 是 ,RFID 标签 不 需要 处 在 读 写 器 视线 范围 之 内 ,也 可 以 嵌入 被 追踪 物体 
之 内 。 

RFID 系统 结构 图 如 图 1-2 所 示 。 

从 系统 结构 上 分 析 ,一 套 完整 的 RFID 系统 ,由 电子 标签 . 读 写 器 .中 间 件 和 应 用 软件 等 
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天 线 
标签 1 
天 线 天 线 * 
标签 2 读 写 器 中 间 件 应 用 软件 
天 线 十 
标签 n 
不 安全 信道 安全 信道 
- -|- -| 
图 1-2 RFID 系统 结构 图 
部 分 组 成 。 
1. 电子 标签 


电子 标签 由 天 线 、 耦 合 元 件 及 芯片 组 成 ,在 RFID 系统 中 ,通常 都 用 标签 作为 物品 的 应 
答 器 ,每 个 电子 标签 具有 唯一 的 电子 编码 ,粘贴 或 附着 在 物体 上 ,用 于 标识 物品 。 天 线 
(Antenna) 是 将 RFID 标签 的 数据 信息 传递 给 阅读 器 的 设备 。RFID 天 线 可 分 为 标签 天 线 


和 阅读 器 天 线 两 种 类 型 。 
2. 读 写 器 


读 写 器 由 天 线 .耦合 元 件 和 芯片 组 成 ,是 读 取 ( 也 可 以 写 入 ) 标 签 信息 的 设备 ,可 设计 为 
手持 式 或 固定 式 。 读 写 器 (Reader) 发射 某 一 特定 频率 的 无 线 电 波 ,将 能 量 传送 给 标签 ,用 以 
驱动 电子 标签 中 电路 ,将 其 内 部 的 数据 送出 ,此 时 读 写 器 便 按 照 次 序 接收 这 些 数据 ,并 送 给 


中 间 件 做 相应 的 处 理 。 
3. 中 间 件 


中 间 件 (Middleware) 位 于 读 写 器 与 应 用 软件 的 中 间 , 它 是 一 种 面向 消息 的 .可 以 接受 
应 用 软件 端 发 送 的 请 求 , 并 同时 与 一 个 或 者 多 个 读 写 器 交互 通信 ,在 接收 数据 和 处 理 数 据 后 


向 应 用 软件 返回 处 理 结 果 的 特 丈 软件。 
4. 应 用 软件 


顾名思义 ,应 用 软件 是 工作 在 应 用 层 的 软件 , 它 主 要 是 把 收集 的 数据 进一步 处 理 ,并 为 
人 们 所 使 用 。 应 用 软件 系统 是 计算 机 后 台 处 理 系 统 , 计 算 机 通过 有 线 或 无 线 网 络 与 阅读 器 
相连 ,获取 电子 标签 的 内 部 信息 ,对 读 取 的 数据 进行 筛选 和 分 析 , 并 进行 后 台 处 理 。 

RFID 技术 的 基本 工作 原理 并 不 复杂 : 标签 进入 磁场 后 ,接收 解读 器 发 出 的 射频 信号 ， 
凭借 感应 电流 所 获得 的 能 量 ,并 发 送 存储 在 芯片 中 的 产品 信息 (Passive Tag ,无 源 标签 或 被 
动 标签 ) ,或 者 由 标签 主动 发 送 某 一 频率 的 信号 (Active Tag, 有 源 标签 或 主动 标签 ) , 读 写 


读 取信 息 并 解码 后 , 送 至 计算 机 系统 进行 有 关 数 据 处 理 。 


以 RFID 读 写 器 与 电子 标签 之 间 的 通信 及 能 量 感 应 方式 来 划分 ,大 致 上 可 以 分 成 感应 
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耦合 式 (Inductive Coupling) 及 后 向 散射 耦合 式 (Backscatter Coupling) 两 种 。 一 般 低 频 的 
RFID 采用 第 一 种 方式 ,而 较 高 频 的 RFID 大 多 采用 第 二 种 方式 。 

根据 使 用 的 结构 和 技术 不 同 , 读 写 器 可 以 是 读 出 设备 ,也 可 以 是 读 / 写 设备 , 它 是 RFID 
系统 信息 控制 和 处 理 中心 。 读 写 器 通常 由 耦合 模块 .收发 模块 .控制 模块 和 接口 单元 组 成 。 
读 写 器 和 电子 标签 之 间 一 般 采 用 半 双 工 通信 方式 进行 信息 交换 ,同时 读 写 器 通过 耦合 给 
源 的 电子 标签 提供 能 量 和 时 序 。 在 实际 应 用 中 ,进一步 通过 以 太 网 (Ethernet) 或 无 线 局 域 
网 (WLAN) 等 实现 对 物体 识别 信息 的 采集 、 处 理 及 远程 传送 等 管理 功能 。 

许多 行业 都 可 以 应 用 射频 识别 技术 。 例 如 : 将 RFID 电子 标签 粘贴 在 一 辆 正在 生产 过 
程 中 的 汽车 上 ,生产 厂家 便 可 以 追踪 此 车 的 生产 进度 ; 将 电子 标签 粘贴 在 产品 上 ,仓库 可 以 
追踪 产品 所 在 的 位 置 ; 将 电子 标签 附 于 牲畜 与 宠物 上 ,可 以 方便 对 牲畜 与 宠物 的 身份 识别 ; 
RFID 身份 识别 也 可 以 使 企业 员工 能 够 进入 紧 闭 的 大 门 ; 汽车 上 的 RFID 标签 可 以 用 于 自 
动 缴 交 收费 路 段 或 停车 场 的 费用 。 


1.4.2 无 线 传感器 网 络 技术 


无 线 传感器 网 络 (Wireless Sensor Network,WSN) 简称 为 无 线 传 感 网 , 它 是 由 大 量 的 
静止 或 移动 的 传感器 以 自 组 织 和 多 跳 的 方式 构成 的 无 线 网 络 ,以 协作 地 感知 ,采集 .处 理 和 
传输 网 络 履 盖 地 理 区 域内 被 感知 对 象 的 信息 ,并 最 终 把 这 些 信 息 发 送 给 网 络 的 所 有 者 。 

无 线 传 感 网 具有 众多 不 同类 型 的 传感器 ,可 以 探测 包括 地 震 、. 电 磁 温度 .湿度 .噪声 . 光 
强度 ,压力 ,土壤 成 分 ,移动 物体 的 大 小 、 速 度 和 方向 等 周边 环境 中 多 种 多 样 的 物理 现象 。 潜 
在 的 应 用 领域 可 以 归纳 为 : 军事 .航空 防爆、 救灾 、 环 境 . 医 疗 . 保 健 、 家 居 、 工 业 、 商 业 等 
领域 。 


1. 无 线 传 感 网 的 定义 


无 线 传 感 网 是 由 部 署 在 监测 区 域内 大 量 的 廉价 微型 传感器 结 点 组 成 的 ,通过 无 线 通信 
方式 形成 的 一 个 多 跳 的 自 组 织 的 网 络 系统 ,其 目的 是 协作 地 感知 ,采集 和 处 理 网 络 覆 盖 区 域 
中 被 感知 对 象 的 信息 ,并 发 送 给 观察 者 。 传 感 器 ,感知 对 象 和 观察 者 构成 了 无 线 传感器 网 络 
的 三 个 要 素 。 

近年 来 ,微机 电 系 统 (Micro-Electro-Mechanism System,MEMS) .片上 系统 (System on 
Chip,SoC) ,无 线 通 信和 低 功 耗 嵌入 式 技术 的 飞速 发 展 ,孕育 出 无 线 传感器 网 络 (Wireless 
Sensor Networks,WSN) ,并 以 其 低 功 耗 、 低 成 本 、 分 布 式 和 自 组 织 的 特点 带 来 了 信息 感知 
的 一 场 变革 。 无 线 传 感 网 就 是 由 部 署 在 监测 区 域内 大 量 的 廉价 微型 传感器 结 点 组 成 ,通过 
无 线 通信 方式 形成 的 一 个 多 跳 自 组 织 网 络 。 

正如 互联 网 使 计算 机 能 够 访问 各 种 数字 信息 ,而 可 以 不 管 其 保存 到 什么 地 方 ,传感器 网 
络 将 能 扩展 人 们 与 现实 世界 进行 远程 交互 的 能 力 。 它 甚至 被 人 称 为 一 种 全 新 类 型 的 计算 机 
系统 ,这 就 是 因为 它 区 别 于 过 去 硬件 的 可 到 处 散布 的 特点 以 及 集体 分 析 能 力 。 


2. 无 线 传 感 网 的 结构 


无 线 传感器 网 的 结构 如 图 1-3 所 示 。 
无 线 传 感 网 系统 通常 包括 传感器 结 点 (Sensor) 汇聚 结 点 (Sink) 和 任务 管理 结 点 
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卫星 通信 网 


任务 管理 结 点 


无 线 通信 链 路 


监测 区 域 传感器 结 点 
图 1-3 无 线 传 感 网 的 结构 


(Coordinator) 。 

大 量 传感器 结 点 随机 部 署 在 监测 区 域内 部 或 附近 ,能 够 通过 自 组 织 方式 构成 网 络 。 传 
感 器 结 点 监测 的 数据 沿 着 其 他 传感器 结 点 逐 跳 地 进行 传输 ,在 传输 过 程 中 监测 数据 可 能 被 
多 个 结 点 处 理 , 经 过 多 跳 后 路 由 到 汇聚 结 点 ,最 后 通过 互联 网 或 卫星 到 达 管 理 结 点 。 用 户 通 
过 管理 结 点 对 传感器 网 络 进行 配置 和 管理 ,发 布 监测 任务 以 及 收集 监测 数据 。 

1) 传感器 结 点 

传感器 结 点 处 理 能 力 ,存储 能 力 和 通信 和 能力 相对 较 弱 ,通过 小 容量 电池 供电 。 从 网 络 功 
能 上 看 ,每 个 传感器 结 点 除了 进行 本 地 信息 收集 和 数据 处 理 外 ,还 要 对 其 他 结 点 转发 来 的 数 
据 进行 存储 、 管 理 和 融合 ,并 与 其 他 结 点 协作 完成 一 些 特定 任务 。 

2) 汇聚 结 点 

汇聚 结 点 的 处 理 能 力 ,存储 能 力 和 通信 和 能力 相对 较 强 , 它 是 连接 传感器 网 络 与 Internet 
等 外 部 网 络 的 网 关 , 实 现 两 种 协议 间 的 转换 ,同时 向 传感器 结 点 发 布 来 自 管理 结 点 的 监测 任 
务 ,并 把 WSN 收集 到 的 数据 转发 到 外 部 网 络 上 。 汇 聚 结 点 既 可 以 是 一 个 具有 增强 功能 的 
传感器 结 点 ,有 足够 的 能 量 供给 和 更 多 的 .Flash 和 SRAM 中 的 所 有 信息 传输 到 计算 机 中 ， 
通过 汇编 软件 ,可 很 方便 地 把 获取 的 信息 转换 成 汇编 文件 格式 ,从 而 分 析出 传 感 结 点 所 存储 
的 程序 代码 、 路 由 协议 及 密 钥 等 机 密 信息 ,同时 还 可 以 修改 程序 代码 ,并 加 载 到 传 感 结 点 中 。 

3) 任务 管理 结 点 
点 访问 无 线 传感器 网 络 的 资源 。 


1.4.3 ”M2M 技术 


M2M 是 “机 器 对 机 器 通信 (Machine to Machine)” 或 者 “人 对 机 器 通信 (Man to 
Machine) ”的 简称 ,主要 是 指 通过 “通信 和 网络” 传递 信息 从 而 实现 机 器 对 机 器 或 人 对 机 器 的 
数据 交换 ,也 就 是 通过 通信 和 网 络 实现 机 器 之 间或 人 与 机 器 之 间 的 互联 互通。 移动 通信 网络 
由 于 其 网 络 的 特殊 性 ,终端 侧 不 需要 人 工 布 线 , 可 以 提供 移动 性 支撑 ,有 利于 节约 成 本 ,并 可 
以 满足 在 危险 环境 下 的 通信 和 需求 .使 得 以 移动 通信 网 络 作为 承载 的 M2M 服务 得 到 了 业界 
的 广泛 关注 。 
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M2M 平台 的 结构 如 图 1-4 所 示 。 


终端 接 入 模块 
通信 | 「 王 务 旬 理 棋 关 | | 人 江 行业 
通信 应 用 厅 业 
本 加 接 入 系统 | 人 EX 应 用 
后 模块 平台 管理 模块 接 入 系统 

模块 
门户 管理 模块 
M2M 平 台 


1-4 M2M 平 台 的 结构 


通信 接 人 模块 主要 实现 平台 与 M2M 终端 的 通信 连接 ,包括 实现 各 种 有 线 、 无 线 接 入 网 
络 的 通信 功能 ,如 2G/3G/LTE、Wi-Fi/WiMAX、ADSL 等 。 

终端 接 入 模块 主要 实现 平台 对 终端 接 入 的 认证 管理 、 连 接 保 持 以 及 流量 控制 功能 。 在 
终端 接 入 时 ,通过 平台 可 以 完成 包括 报 文 收发 . 报 文 认证 ,终端 流 控 和 协议 适 配 的 功能 ; 在 
终端 接 入 后 ,平台 将 完成 终端 注册 ,终端 登录 终端 退出 以 及 终端 注销 等 功能 。 此 外 终端 接 
入 模块 还 实现 终端 信息 查询 .状态 监测 .故障 管理 参数 查询 和 配置 .远程 控制 和 终端 操作 任 
务 管理 等 功能 。 该 模块 中 需要 实现 不 同 运营 商 的 M2M 终端 接 入 协议 ,如 中 国 移动 通信 企 
业 标准 无 线 机 器 通信 协议 (WMMP)、 中 国电 信和 技术 规范 M2M 终端 监测 控制 协议 
(MDMP) ,以 实现 与 M2M 终端 数据 交互 。 

业务 管理 模块 实现 对 终端 和 应 用 的 基本 信息 的 维护 ,对 相应 的 行业 应 用 业务 进行 受理 、 
计 费 以 及 下 单 等 。 

平台 管理 模块 主要 完成 M2M 业务 系统 正常 运行 所 需 的 基础 数据 管理 .操作 员 账 号 管 
理 、 系 统 安全 管理 等 功能 。 

门户 管理 模块 提供 人 性 化 的 Web 登录 界面 , 供 平台 管理 员 . 业 务 管 理 员 、 企 业 客户 、 终 
端 厂商 、 服 务 提 供 商 等 完成 终端 管理 ,应 用 管理 ,系统 管理 等 功能 。 

行业 应 用 系统 接 入 模块 实现 平台 与 行业 应 用 系统 的 对 接 , 为 行业 应 用 系统 提供 终端 管 
理 服 务 和 行业 应 用 数据 转发 服务 ,包括 应 用 接 入 的 建立 和 维护 、 流 量 控制 ,终端 管理 请 求 处 
理 以 及 应 用 数据 转发 请 求 处 理 等 基本 功能 。 

由 以 上 分 析 可 以 看 出 , M2M 平台 涉及 的 技术 主要 包括 门户 管理 技术 .通信 接 人 技术 、 
安全 管理 技术 流量 控制 技术 和 数据 库 管理 技术 等 。 

M2M 与 社会 的 发 展 和 人 们 的 生活 、 工 作 密 切 相关 ,应 用 遍布 各 个 领域 ,主要 包括 : 交通 
领域 (交通 监控 ,定位 导航 ) .电力 领域 (远程 抄 表 和 负载 监控 ) .农业 领域 (大 棚 监控 、 动 物 淹 
源 ) .智慧 城市 (电梯 监控 .路 灯 控制 ) 安全 领域 (城市 和 企业 安防 ) .环保 领域 (污染 监控 ,水 
土 检测 ) 和 智能 家 居 ( 老 人 /小 孩 看 护 、 智 能 安防 ) 等 。 


1.4.4 基于 IPv6 协议 的 下 一 代 互 联网 
1. IPv6 的 基本 概念 


基于 IPv6 协议 的 下 一 代 互 联网 是 物 联网 的 核心 网 络 。IPv6 是 英文 Internet Protocol 
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Version 6 的 缩写 , 即 互 联网 协议 第 6 版 。IPv6 是 互联 网 工程 任务 组 (Internet Engineering 
Task Force,IETPF) 设 计 的 用 于 替代 现行 版 本 IP 协议 (IPv4) 的 下 一 代 IP 协议 。 

目前 互联 网 广泛 使 用 的 IPv4 技术 ,最 大 问题 是 网 络 地 址 资源 有 限 ,从 理论 上 讲 , 编 址 
1600 万 个 网 络 40 亿 台 主机 。 但 采用 A、B.C 三 类 编 址 方式 后 ,可 用 的 网 络 地 址 和 主机 地 址 
的 数目 大 打折 扣 , 以 至 IP 地 址 已 于 2011 年 2 月 3 日 分 配 完毕 。 其 中 北美 占有 3/4, 约 30 亿 
个 ,而 人 口 最 多 的 亚洲 只 有 不 到 4 亿 个 ,中 国 截至 2010 年 6 月 IPv4 地 址 数量 达到 2. 5 亿 ， 
落后 于 4.2 亿 网 民 的 需求 。 地 址 不 足 , 严 重地 制约 了 中 国 及 其 他 国家 互联 网 的 应 用 和 发 展 。 

一 方面 是 地 址 资源 数量 的 限制 , 另 一 方面 是 随 着 电子 技术 及 网 络 技术 的 发 展 , 物 联网 将 
进入 人 们 的 日 常生 活 ,身边 的 每 一 样 东西 都 有 可 能 需要 连 人 物 联 网 。 在 这 样 的 环境 下 ,IPv6 
应 运 而 生 。 单 从 数量 级 上 来 说 ,IPv6 所 拥有 的 地 址 容量 是 IPv4 的 约 7.92X108 倍 ,达到 
2 个 。 这 不 但 解决 了 网 络 地 址 资源 数量 的 问题 ,同时 也 为 除 电 脑 外 的 设备 连 入 互联 网 在 数 
量 限制 上 扫 清 了 障碍 。 

如 果 说 IPv4 实现 的 只 是 人 机 对 话 , 而 IPv6 则 扩展 到 任意 事物 之 间 的 对 话 , 它 不 仅 可 以 
为 人 类 服务 ,还 将 服务 于 众多 硬件 设备 ,如 家 用 电器 传感器、 远程 照相 机 、 汽 车 等 , 它 将 是 无 
时 不 在 ,无 处 不 在 的 深入 社会 每 个 角落 的 真正 的 物 联 网 。 而 且 它 所 带 来 的 经 济 效 益 将 非常 
巨大 。 


2. IPv6 技术 的 优势 


与 IPv4 技术 相 比 ,IPv6 技术 具有 以 下 几 个 优势 : 

1) IPv6 具有 更 大 的 地 址 空间 

IPv4 中 规定 IP 地 址 长 度 为 32, 最 大 地 址 个 数 为 2”; 而 IPv6 中 IP 地 址 的 长 度 为 128， 
即 最 大 地 址 个 数 为 2”。 与 32 位 地 址 空间 相 比 ,其 地 址 空间 增加 了 2 和” 一 2* 个 。 

目前 ,IPv4 采用 32 位 二 进 制 数 地 址 长 度 , 约 有 43 亿 个 地 址 ,而 IPv6 采用 128 位 二 进 制 
数 地 址 长 度 , 具 有 海量 的 地 址 资源 。 地 址 的 丰富 将 完全 删除 在 IPv4 互联 网 应 用 上 的 种 种 
限制 。 

以 智慧 家 庭 为 例 ,家 中 每 一 个 传感器 、 每 一 台 家 电 都 可 以 有 一 个 独立 的 IP 地 址 ,可 以 真 
正 形成 一 个 智慧 家 庭 。 

由 于 IPv6 在 地 址 空间 上 的 优势 ,在 很 大 程度 上 解决 了 IPv4 互联 网 存在 的 问题 ,这 也 成 
为 国际 互联 网 从 IPv4 向 IPv6 演进 的 重要 动力 。 

2) IPv6 使 用 更 小 的 路 由 表 

IPv6 的 地 址 分 配 一 开始 就 遵循 聚 类 (Aggregation) 的 原则 ,这 使 得 路 由 器 能 在 路 由 表 
中 用 一 条 记录 (Entry) 表 示 一 片子 网 ,大 大 减 小 了 路 由 器 中 路 由 表 的 长 度 ,提高 了 路 由 器 转 
发 数据 包 的 速度 。 

3) 增强 了 对 多 媒体 应 用 的 支持 

IPv6 增加 了 增强 的 组 播 (Multicast) 支 持 以 及 对 流 的 控制 (Flow Control) ,这 使 得 基于 
IPv6 的 网 络 在 多 媒体 应 用 方面 有 良好 发 展 的 前 景 ,为 服务 质量 (Quality of Service, QoS) 控 
制 提供 了 良好 的 网 络 平台 。 

4) 对 自动 配置 (Auto Configuration) 的 支持 

IPv6 技术 增加 了 对 自动 配置 (Auto Configuration) 的 支持 。 这 是 对 动态 主机 配置 协议 
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(Dynamic Host Configuration Protocol,DHCP) 的 改进 和 扩展 ,使 得 网 络 (尤其 是 局 域 网 ) 的 
管理 更 加 方便 和 快捷 。 
5) IPv6 具有 更 高 的 安全 性 
在 使 用 IPv6 网 络 中 用 户 可 以 对 网 络 层 的 数据 进行 加 密 并 对 IP 报 文 进行 校 验 ,在 IPv6 
中 的 加 密 与 鉴别 选项 提供 了 分 组 的 保密 性 与 完整 性 。 极 大 地 增强 了 网 络 的 安全 性 。 
6) 允许 扩充 
如 果 新 的 技术 或 应 用 需要 时 ,IPv6 允许 协议 进行 扩充 。 
7) 更 好 的 头 部 格式 
IPv6 使 用 新 的 头 部 格式 ,其 选项 与 基本 头 部 分 开 , 如 果 需 要 ,可 将 选项 插入 到 基本 头 部 
与 上 层 数 据 之 间 。 这 就 简化 和 加 速 了 路 由 选择 过 程 , 因 为 大 多 数 的 选项 不 需要 由 路 由 选择 。 
8) 实现 附加 的 功能 
IPv6 可 以 通过 一 些 新 的 选项 来 实现 附加 的 功能 。 


3. IPv6 的 关键 技术 


1) IPv6 DNS 技术 

IPv6 DNS 体系 结构 与 IPv4 DNS 体系 结构 相同 ,都 是 统一 地 采用 树 状 型 结构 的 域名 空 
间 。 在 从 IPv4 向 IPv6 的 演进 阶段 ,正在 访问 的 域名 可 以 对 应 于 多 个 IPv4 和 IPv6 地 址 ,未 
来 , 随 着 IPv6 网 络 的 普及 ,IPv6 地 址 将 逐渐 取代 IPv4 地 址 。 

2) IPv6 路 由 技术 

IPv6 路 由 查找 与 IPv4 的 原理 一 样 ,是 最 长 的 地 址 匹配 原则 ,选择 最 优 路 由 还 允许 地 址 
过 滤 、 聚 合 、 注 射 操作 。 原 来 的 IPv4IGP 和 BGP 的 路 由 技术 ,如 RIP、ISIS、.OSPFv2 和 BGP- 
4 等 动态 路 由 协议 都 可 以 一 直 延 续 到 IPv6 网 络 中 ,使 用 新 的 IPv6 协议 ,新 的 版 本 分 别 是 
RIPng\ISISv6 .OSPFv3、BGP4 十 。 

3) IPv6 安全 技术 

与 IPv4 相 比 ,IPv6 并 没有 提供 新 的 安全 技术 ,但 IPv6 协议 可 以 通过 128 字 节 的 IPsec 
报 文 头 包 、ICMP 地 址 解析 和 其 他 安全 机 制 来 提高 安全 性 。 


1.4.5 无 线 通信 网 络 


无 线 通信 网 络 包括 无 线 局 域 网 Wi-Fi、 无 线 城 域 网 WiMAX、ZigBee、 蓝 牙 .红外 通信 、 
4G 移动 通信 等 技术 。 

Wi-Fi 技术 是 通过 在 互联 网 连接 基础 上 ,安装 无 线 访问 点 来 实现 的 。 这 个 访问 点 将 无 
线 信号 通过 短 距离 进行 传输 ,一 般 仅 覆盖 100 米 。 当 一 台 支 持 Wi-Fi 的 设备 (例如 智能 手 
机 ) 遇 到 一 个 热点 时 ,这 个 设备 可 以 用 无 线 方式 连接 到 那个 网 络 。 大 部 分 热点 都 位 于 供 大 众 
访问 的 地 方 , 例 如 机 场 、 咖 啡 店 、 旅 馆 、 书 店 以 及 校园 等 等 。 许 多 家 庭 和 办 公 室 也 拥有 Wi-Fi 
网 络 。 虽然 有 些 热点 是 免费 的 ,但 是 大 部 分 稳定 的 公共 Wi-Fi 网 络 是 由 私人 互联 网 服务 提 
供 商 (ISP) 提 供 的 ,因此 会 在 用 户 连 接 到 互联 网 时 收取 一 定 费 用 。 

全 球 微波 互联 接 入 (Worldwide Interoperability for Microwave Access,WiMAX) ,也 称 
为 无 线 城 域 网 或 802.16。WiMAX 是 一 项 新 兴 的 宽带 无 线 接 入 技术 ,能 提供 面向 互联 网 的 
高 速 连接 ,数据 传输 距离 最 远 可 达 50km。WiMAX 还 具有 QoS 保障 、 传 输 速率 高 .业务 丰 
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富 多 样 等 优点 。WiMAX 技术 的 起 点 较 高 , 它 采 用 了 代表 未 来 通信 技术 发 展 方向 的 
OFDM/OFDMA、AAS、MIMO 等 先进 技术 , 随 着 WiMAX 技术 的 发 展 ,可 以 逐步 实现 宽带 
业务 的 移动 化 ,而 3G 则 实现 移动 业务 的 宽带 化 ,两 种 网 络 的 融合 程度 会 越 来 越 高 。 
WiMAX 系统 的 结构 如 图 1-5 所 示 。 


智能 手机 


站 I ((9)) 


个 人 电脑 Nu 
S 


Am 
9 争 
As 


企业 计算 机 网 络 
图 1-5 WiMAX 系统 的 结构 


ZigBee 技术 是 一 种 近 距 离 、 低 复杂 度 、 低 功 耗 、 低 速率 、 低 成 本 的 双向 无 线 通信 技术 。 
主要 用 于 距离 短 、 功 耗 低 且 传输 速率 不 高 的 各 种 电子 设备 之 间 进 行 数据 传输 以 及 典型 的 有 
周期 性 数据 、 间 吹 性 数据 和 低 反 应 时 间 数 据 传输 的 应 用 。 与 移动 通信 的 CDMA 网 或 GSM 
网 不 同 的 是 ,ZigBee 网 络 主要 是 为 工业 现场 自动 化 控制 数据 传输 而 建立 ,因而 , 它 必须 具有 
简单 .使 用 方便 、 工 作 可 靠 、. 价 格 低 的 特点 。 而 移动 通信 网 主要 是 为 语音 通信 而 建立 ,每 个 基 
站 价值 一 般 都 在 百 万 元 人 民 币 以 上 ,而 每 个 ZigBee* 基 站 ” 却 不 到 1000 元 人 民 币 。 每 个 
ZigBee 网 络 结 点 不 仅 本 身 可 以 作为 监控 对 象 ,例如 其 所 连接 的 传感器 直接 进行 数据 采集 和 
监控 ,还 可 以 自动 中 转 别 的 网 络 结 点 传 过 来 的 数据 资料 。 除 此 之 外 ,每 一 个 ZigBee 网 络 结 
点 (FFD) 还 可 在 自己 信号 覆盖 的 范围 内 ,和 多 个 不 承担 网 络 信息 中 转 任 务 的 孤立 的 子 结 点 
(RFD) 无 线 连接 。 

蓝牙 ,是 一 种 支持 设备 短 距离 通信 (一 般 10m 内 ) 的 无 线 电 技术 。 能 在 包括 移动 电话 、 
PDA .无线 耳机 、 笔 记 本 电脑 .相关 外 设 等 众多 设备 之 间 进 行 无 线 信息 交换 。 利 用 “蓝牙 " 技 
术 ,能 够 有 效 地 简化 移动 通信 终端 设备 之 间 的 通信 ,也 能 够 成 功 地 简化 设备 与 Internet 之 间 
的 通信 ,从 而 使 数据 传输 变 得 更 加 迅速 高 效 ,为 无 线 通信 拓宽 道路 。 蓝 牙 采 用 分 散 式 网 络 结 
构 以 及 快 跳 频 和 短 包 技术 ,支持 点 对 点 及 点 对 多 点 通信 ,工作 在 全 球 通用 的 2. 4GHz ISM 
( 即 工业 、 科 学、 医学 ) 频 段 。 其 数据 速率 为 1Mbps。 采 用 时 分 双 工 传输 方案 实现 全 双 工 
传输 。 

红外 通信 技术 利用 950nm 近 红 外 波段 的 红外 线 作为 传递 信息 的 媒体 , 即 通 信 
而 言 之 ,红外 通信 的 实质 就 是 对 二 进 制 数 字 信 号 进行 调制 与 解 调 ,以 便利 用 红外 信 
输 ; 红外 通信 接口 就 是 针对 红外 信道 的 调制 解 调 器 。 发 送 端 将 基带 二 进 制 信号 调制 为 一 系 
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列 的 脉冲 串 信 号 ,通过 红外 发 射 管 发 射 红外 信号 。 接 收 端 将 接收 到 的 红外 信和 号 转换 成 电信 
号 ,再 经 过 放大 ,滤波 等 处 理 后 送 给 解 调 电 路 进行 解 调 ,还 原 为 二 进 制 数字 信号 后 输出 。 常 
用 的 有 通过 脉冲 宽度 来 实现 信号 调制 的 脉 宽 调制 (PWM) 和 通过 脉冲 串 之 间 的 时 间 间 隔 来 
实现 信号 调制 的 脉 时 调制 (PPM) 两 种 方法 。 

4G 移动 通信 网 络 ,是 采用 第 四 代 移 动 通信 技术 的 网 络 , 英 文 缩写 为 4G。 该 技术 包括 
TD-LTE 和 FDD-LTE 两 种 制式 。 严 格 意义 上 来 说 ,4G 只 是 3. 5G,LTE 尽管 被 宣传 为 4G 
无 线 标准 ,但 它 其 实 并 未 被 3GPP 认可 为 国际 电信 联盟 所 描述 的 下 一 代 无 线 通信 标准 IMT- 
Advanced, 因 此 在 严格 意义 上 其 还 未 达到 4G 的 标准 。 只 有 升级 版 的 LTE Advanced 才 满 
足 国际 电信 联盟 对 4G 的 要 求 。4G 集 3G 与 WLAN 于 一 体 ,能 够 快速 传输 数据 、 高 质量 、 音 
频 、 视 频 和 图 像 等 。4G 能 够 以 高 达 100M bps 的 速度 下 载 数据 , 比 目 前 基于 电话 线 的 xDSL 
(2 一 6M bps) 接 入 方式 快 20 倍 , 并 能 够 满足 几乎 所 有 用 户 对 于 无 线 服 务 的 要 求 。 此 外 ,4G 
可 以 在 DSL 和 有 线 电视 调制 解 调 器 没有 覆盖 的 地 方 部 署 , 然 后 再 扩展 到 整个 地 区 。 很 明 
显 ,4G 有 着 不 可 比拟 的 优越 性 。 


1.4.6 GPS 全 球 定位 技术 


GPS 即 全 球 定位 系统 (Global Positioning System,GPS) ,是 具有 海 、 陆 、 空 全 方位 实时 
三 维 导 航 与 定位 能 力 的 卫星 导航 与 定位 系统 。 

GPS 全 球 定位 系统 是 由 空间 星座 `. 地 面 控制 和 用 户 设 备 等 三 部 分 构成 的 。GPS 技术 能 
够 快速 .高效 、 准 确 地 提供 点 、 线 、` 面 要 素 的 精确 三 维 坐标 以 及 其 他 相关 信息 ,具有 全 天 候 \ 高 
精度 .自动 化 ,高 效益 等 显著 特点 ,广泛 应 用 于 军事 .民用 交通 (船舶 .飞机 汽车 等 ) 导 航 、 大 
地 测量 .摄影 测量 .野外 考察 探险 .土地 利用 调查 、 精 确 农业 以 及 日 常生 活 ( 人 员 跟 踪 、 休 闲 娱 
乐 ) 等 不 同 领域 。 

GPS 与 现代 通信 技术 相 结合 ,使 得 测定 地 球 表面 三 维 坐标 的 方法 从 静态 发 展 到 动态 ， 
从 数据 后 处 理发 展 到 实时 的 定位 与 导航 , 极 大 地 扩展 了 它 的 应 用 广度 和 深度 。 载 波 相位 差 
分 法 GPS 技术 可 以 极 大 提高 相对 定位 精度 ,在 小 范围 内 可 以 达到 厘米 级 精度 。 此 外 由 于 
GPS 测量 技术 对 测 点 间 地 通 视 和 几何 图 形 等 方面 的 要 求 比 常规 测量 方法 更 加 灵活 \ 方 便 ， 
已 完全 可 以 用 来 施 测 各 种 等 级 的 控制 网 。 

目前 ,全 球 的 GPS 系统 有 四 个 : 美国 的 全 星球 导航 定位 系统 .欧盟 的 伽利略 卫星 定位 
系统 、 俄 罗斯 的 格 洛 纳 斯 卫星 定位 系统 和 中 国 的 北斗 卫星 定位 系统 。 

GPS 全 球 定位 系统 的 结构 如 图 1-6 所 示 。GPS 全 球 定位 系统 包括 三 大 部 分 : GPS 卫星 
星座 、 地 面 监控 系统 和 GPS 信号 接收 机 。 


1. GPS 卫星 星座 


由 21 颗 工 作 卫 星 和 3 颗 在 轨 备 用 卫星 组 成 GPS 卫星 星座 记 作 (21 十 3)GPS 星座 。24 
颗 卫 星 均 匀 分 布 在 6 个 轨道 平面 内 轨道 倾角 为 55 各 个 轨道 平面 之 间 相 距 60", 即 轨道 的 升 
交点 赤 经 各 相差 60"。 每 个 轨道 平面 内 各 颗 卫 星之 间 的 升 交 角 距 相差 90" 一 轨道 平面 上 的 
卫星 比 西边 相 邻 轨道 平面 上 的 相应 卫星 超前 30°。 

在 两 万 千 米 高 空 的 GPS 卫星 ,当地 球 对 恒星 来 说 自转 一 周 时 它们 绕 地 球 运 行 2 周 即 绕 
地 球 一 周 的 时 间 为 12 恒星 时 。 这 样 对 于 地 面 观测 者 来 说 每 天 将 提前 4 分 钟 见 到 同一 颗 
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图 1-6 GPS 卫星 定位 系统 的 结构 


GPS 卫星 。 位 于 地 平 线 以 上 的 卫星 颗 数 随 着 时 间 和 地 点 的 不 同 而 不 同 , 最 少 可 见 到 4 颗 ， 
最 多 可 见 到 11 颗 。 在 用 GPS 信号 导航 定位 时 ,为 了 结算 测 站 的 三 维 坐标 必须 观测 4 颗 
GPS 卫星 , 称 为 定位 星座 。 这 4 颗 卫星 在 观测 过 程 中 的 几何 位 置 分 布 对 定位 精度 有 一 定 的 
影响 。 对 于 某 地 某 时 甚至 不 能 测 得 精确 的 点 位 坐标 ,这 种 时 间 段 叫做 * 间 院 段 *。 但 这 种 时 
间 间 阶段 是 很 短暂 的 ,并 不 影响 全 球 绝 大 多 数 地 方 的 全 天 候 \ 高 精度 .连续 实时 的 导航 定位 
测量 。GPS 工作 卫星 的 编号 和 试验 卫星 基本 相同 。 


2. 地 面 监控 系统 


GPS 工作 卫星 的 地 面 监控 系统 包括 一 个 主 控 站 、 三 个 注入 站 和 五 个 监测 站 。 

对 于 导航 定位 来 说 GPS 卫星 是 一 个 动态 已 知 点 。 星 的 位 置 是 依据 卫星 发 射 的 星 
历 一 一 描述 卫星 运动 及 其 轨道 的 参数 算得 的 。 每 颗 GPS 卫星 所 播发 的 星 历 是 由 地 面 监 控 
系统 提供 的 。 卫 星 上 的 各 种 设备 是 否 正常 工作 以 及 卫星 是 否 一 直 沿 着 预定 轨道 运行 都 要 由 
地 面 设备 进行 监测 和 控制 。 地 面 监控 系统 另 一 重要 作用 是 保持 各 颗 卫 星 处 于 同一 时 间 标 
准 一 一 GPS 时 间 系 统 。 这 就 需要 地 面 站 监测 各 颗 卫星 的 时 间 求 出 钟 差 ,然后 由 地 面 注入 站 
发 给 卫星 ,再 由 卫星 将 导航 电文 发 给 用 户 的 GPS 信号 接收 机 。 


3. GPS 信号 接收 机 


GPS 信号 接收 机 的 任务 是 : 能 够 捕获 到 按 一 定 卫星 高 度 截 止 角 所 选择 的 待 测 卫星 的 信 
号 ,并 跟踪 这 些 卫 星 的 运行 对 所 接收 到 的 GPS 信号 进行 变换 .放大 和 处 理 , 以 便 测量 出 GPS 
信和 号 从 卫星 到 接收 机 天 线 的 传播 时 间 , 解 译 出 GPS 卫星 所 发 送 的 导航 电文 ,实时 地 计算 出 
测 站 的 三 维 位 置 甚 至 三 维 速度 和 时 间 。 

GPS 卫星 发 送 的 导航 定位 信号 是 一 种 可 供 无 数 用 户 共享 的 信息 资源 。 对 于 陆地 ,海洋 
和 空间 的 广大 用 户 , 只 要 用 户 拥有 能 够 接收 、 跟 踪 、 变 换 和 测量 GPS 信号 的 接收 设备 即 GPS 
信号 接收 机 ,可 以 在 任何 时 候 用 GPS 信号 进行 导航 定位 测量 。 
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根据 使 用 目的 的 不 同 , 用 户 要 求 的 GPS 信号 接收 机 也 各 有 差异 。 目 前 世界 上 已 有 几 十 
家 工厂 生产 GPS 接收 机 ,产品 也 有 几 百 种 。 这 些 产 品 可 以 按照 原理 用途、 功能 等 来 分 类 。 

静态 定位 中 GPS 接收 机 在 捕获 和 跟踪 GPS 卫星 的 过 程 中 固定 不 变 ,接收 机 高 精度 地 
测量 GPS 信号 的 传播 时 间 , 利 用 GPS 卫星 在 轨 的 已 知 位 置 解 算出 接收 机 天 线 所 在 位 置 的 
三 维 坐标 。 而 动态 定位 则 是 用 GPS 接收 机 测定 一 个 运动 物体 的 运行 轨迹 。GPS 信号 接收 
机 所 位 于 的 运动 物体 叫做 载体 (如 航行 中 的 船 舰 、 空 中 的 飞机 ,行走 的 车 辆 等 )。 载 体 上 的 
GPS 接收 机 天 线 在 跟踪 GPS 卫星 的 过 程 中 相对 地 球 而 运动 ,接收 机 用 GPS 信号 实时 地 测 
得 运动 载体 的 状态 参数 (瞬间 三 维 位 置 和 三 维 速度 ) 。 

接收 机 硬件 和 机 内 软件 以 及 GPS 数据 的 后 处 理 软件 包 构 成 完整 的 GPS 用 户 设备 。 
GPS 接收 机 的 结构 分 为 天 线 单元 和 接收 单元 两 大 部 分 。 对 于 测 地 型 接收 机 来 说 ,两 个 单元 
一 般 分 成 两 个 独立 的 部 件 ,观测 时 将 天 线 单元 安置 在 测 站 上 ,接收 单元 置 于 观测 站 附近 的 适 
当地 方 , 用 电缆 线 将 两 者 连接 成 一 个 整 机 。 也 有 的 GPS 接收 机 将 天 线 单元 和 接收 单元 制作 
成 一 个 整体 ,观测 时 将 其 安置 在 观测 站 点 上 。 

GPS 接收 机 一 般 用 蓄电池 作 电 源 , 同 时 采用 机 内 机 外 两 种 直流 电源 。 设 置 机 内 电池 的 
目的 是 当 更 换 机 外 电池 时 不 会 中 断 连续 观测 。 在 用 机 外 电池 的 过 程 中 ,机 内 电池 自动 充电 。 
关机 后 ,机 内 电池 为 RAM 存储 器 供电 以 防止 丢失 数据 。 


1.4.7 云 计 算 技 术 
1. 云 计算 的 概念 与 特点 


云 计算 (cloud computing) 是 基于 互联 网 的 相关 服务 的 增加 、 使 用 和 交付 模式 ,通常 涉 
及 通过 互联 网 来 提供 动态 易 扩展 且 经 常 是 虚拟 化 的 资源 。 云 是 网 络 .互联 网 的 一 种 比喻 说 
法 。 过 去 往往 用 云 来 表示 电信 网 ,后 来 也 用 来 表示 互联 网 和 底层 基础 设施 。 

云 计算 可 以 让 使 用 者 体验 高 达 每 秒 10 万 亿 次 的 运算 能 力 ,拥有 这 么 强大 的 计算 能 力 可 
以 模拟 核 爆炸 、 预 测 气 候 变 化 和 市 场 发 展 趋势 。 用 户 通 过 电脑 笔记本、 手机 等 方式 接 入 数 
据 中 心 , 按 自己 的 需求 进行 运算 。 云 计算 系统 的 结构 如 图 1-7 所 示 。 

云 计算 将 计算 分 布 在 大 量 的 分 布 式 计算 机 上 ,而 非 本 地 计算 机 或 远程 服务 器 中 ,使 企业 
数据 中 心 的 运行 将 与 互联 网 更 相似 。 这 使 得 企业 能 够 将 资源 切换 到 需要 的 应 用 上 ,根据 需 
求 访问 计算 机 和 存储 系统 。 

正如 从 早期 的 单 台 发 电机 模式 转向 后 来 的 电厂 集中 发 电 的 模式 , 云 计算 意味 着 计算 能 
力也 可 以 作为 一 种 商品 进行 流通 ,就 像 煤 气 、 水 电 一 样 ,使 用 方便 ,费用 低廉 。 两 者 最 大 的 不 
同 在 于 , 它 的 数据 是 通过 互联 网 进行 传输 的 。 

云 计算 的 主要 特点 如 下 : 

1) 超大 规模 

“ 云 " 具 有 相当 大 的 规模 ,Google 云 计 算 已 经 拥有 100 多 万 台 服 务 器 , Amazon、IBM、 微 
软 、Yahoo 等 的 “ 云 ? 均 拥有 几 十 万 台 服 务 器 。 企 业 私 有 云 一 般 拥 有 数 百 上 千 台 服务 器 。 
“ 云 ” 能 赋予 用 户 前 所 未 有 的 计算 能 力 。 

2) 虚拟 化 

云 计算 支持 用 户 在 任意 位 置 、 使 用 各 种 终端 获取 应 用 服务 。 所 请 求 的 资源 来 自 * 云 ”, 而 
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广泛 的 接 入 )( 迅速、 弹性 ) ( 资源 池 ) (标准 服务 
高 可 扩展 性 ) ( 虚拟 化 ) ( 自动 化 计算 】 ( 面向 服务 
共同 特征 
Web 应 用 “) (免费 软件 ) ( 分 布 式 计算 ) (高 安全 性 


图 1-7 云 计算 系统 的 结构 


不 是 固定 的 有 形 的 实体 。 应 用 在 “ 云 " 中 某 处 运行 ,但 实际 上 用 户 无 须 了 解 、 也 不 用 担心 应 用 
运行 的 具体 位 置 。 只 需要 一 台 笔 记 本 或 者 一 部 手机 ,就 可 以 通过 网 络 服 务 来 实现 我 们 需要 
的 一 切 ,甚至 包括 超级 计算 这 样 的 任务 。 

3) 高 可 靠 性 

“ 云 ”使 用 了 数据 多 副本 容错 、 计 算 结 点 同 构 可 互 换 等 措施 来 保障 服务 的 高 可 靠 性 ,使 用 
云 计算 比 使 用 本 地 计算 机 可 靠 。 

4) 通用 性 

云 计算 不 针对 特定 的 应 用 ,在 “ 云 ” 的 支撑 下 可 以 构造 出 千变万化 的 应 用 ,同一 个 “ 云 " 可 
以 同时 支撑 不 同 的 应 用 运行 。 

5) 高 可 扩展 性 

“ 云 ”的 规模 可 以 动态 伸缩 ,满足 应 用 和 用 户 规模 增长 的 需要 。 

6) 按 需 服务 

“ 云 " 是 一 个 庞大 的 资源 池 , 让 用 户 按 需 购买 ; 云 可 以 像 自 来 水 、 电 、 煤 气 那样 计 费 。 

7) 极其 廉价 

由 于 * 云 ”的 特殊 容错 措施 可 以 采用 极其 廉价 的 结 点 来 构成 云云 ”的 自动 化 集中 式 管 
理 使 大 量 企 业 无 须 负担 日 益 高 昂 的 数据 中 心 管理 成 本 , 云 ” 的 通用 性 使 资源 的 利用 率 较 之 
传统 系统 大 幅 提升 ,因此 用 户 可 以 充分 享受 “ 云 的 低 成 本 优势 ,经 常 只 要 花费 几 百 美元 ` 几 
天 时 间 , 就 能 完成 以 前 需要 数 万 美元 、 数 月 时 间 才 能 完成 的 任务 。 

云 计 算 可 以 彻底 改变 人 们 未 来 的 生活 ,但 同时 也 要 重视 环境 问题 ,这 样 才能 真正 为 人 类 
进步 做 贡献 ,而 不 是 简单 的 技术 提升 。 

8) 潜在 的 危险 性 

云 计算 服务 除了 提供 计算 服务 外 ,还 必然 提供 了 存储 服务 。 但 是 云 计算 服务 当前 垄断 
在 私人 机 构 ( 企 业 ) 手 中 ,而 他 们 仅仅 能 够 提供 商业 信用 。 对 于 政府 机 构 、 商 业 机 构 ( 特 别 像 
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银行 这 样 持 有 敏感 数据 的 商业 机 构 ) 对 于 选择 云 计算 服务 应 保持 足够 的 警惕 。 一 旦 商业 用 
户 大 规模 使 用 私人 机 构 提 供 的 云 计算 服务 ,无 论 其 技术 优势 有 多 强 ,都 不 可 避免 地 让 这 些 私 
人 机 构 以 “数据 (信息 )” 的 重要 性 挟 制 整个 社会 。 对 于 信息 社会 而 言 ,“ 信 息 ” 是 至 关 重要 的 。 
另 一 方面 , 云 计算 中 的 数据 对 于 数据 所 有 者 以 外 的 其 他 云 计算 用 户 是 保密 的 ,但 是 对 于 提供 
云 计算 的 商业 机 构 而 言 确实 毫 无 秘密 可 言 。 所 有 这 些 潜在 的 危险 ,是 商业 机 构 和 政府 机 构 
选择 云 计算 服务 .特别 是 国外 机 构 提 供 的 云 计 算 服 务 时 ,不 得 不 考虑 的 一 个 重要 的 因素 。 


2. 云 计算 的 服务 


云 计算 可 以 提供 以 下 三 个 层次 的 服务 : 基础 设施 即 服务 (IaaS) ,平台 即 服务 (PaaS) 和 
软件 即 服务 (SaaS) 。 

1) 基础 设施 即 服 务 

基础 设施 即 服务 (Infrastructure-as-a-Service, IaaS) ,是 指 消 费 者 通过 Internet 可 以 从 
完善 的 计算 机 基础 设施 获得 服务 。 例 如 : 硬件 服务 器 租用 。 

2) 平台 即 服务 

平台 即 服务 (Platform-as-a-Service, PaaS) 实 际 上 是 指 将 软件 研发 的 平台 作为 一 种 服 
务 , 以 SaaS 的 模式 提交 给 用 户 。 因 此 ,PaaS 也 是 SaaS 模式 的 一 种 应 用 。 但 是 ,PaaS 的 出 
现 可 以 加 快 SaaS 的 发 展 ,尤其 是 加 快 SaaS 应 用 的 开发 速度 。 例 如 : 软件 的 个 性 化 定制 
开发 。 

3) 软件 即 服务 

软件 即 服 务 (Software-as-a-Service,SaaS) 是 一 种 通过 Internet 提供 软件 的 模式 ,用 户 
无 须 购买 软件 ,而 是 向 提供 商 租 用 基于 Web 的 软件 ,来 管理 企业 经 营 活动 。 例 如 : 阳光 云 
服务 器 。 


1.4.8 数据 挖掘 技术 


数据 挖掘 (Data Mining,DM) ,又 翻译 为 资料 探勘 、, 数 据 采矿 。 它 是 数据 库 知 识 发 现 
(Knowledge-Discovery in Databases,KDD) 中 的 一 个 步 又。 数据 挖掘 一 般 是 指 从 大 量 的 数 
据 中 通过 算法 搜索 隐藏 于 其 中 信息 的 过 程 。 数 据 挖掘 通常 与 计算 机 科学 有 关 , 并 通过 统计 、 
在 线 分 析 人 处理 ,情报 检索 、 机 器 学 习 、 专 家 系统 (依靠 过 去 的 经 验 法 则 ) 和 模式 识别 等 诸多 方 
法 来 实现 上 述 目 标 。 

数据 挖掘 是 目前 人 工 智 能 和 数据 库 领 域 研 究 的 热点 问题 ,所 谓 数据 挖掘 是 指 从 数据 库 
的 大 量 数据 中 揭示 出 隐 含 的 、 先 前 未 知 的 并 有 潜在 价值 的 信息 的 非 平凡 过 程 。 数 据 挖掘 是 
一 种 决策 支持 过 程 , 它 主要 基于 人 工 智 能 、 机 器 学 习 、 模 式 识别 ,统计 学 数据库、 可 视 化 技术 
等 ,高 度 自动 化 地 分 析 企 业 的 数据 ,做 出 归纳 性 的 推理 ,从 中 挖掘 出 潜在 的 模式 ,帮助 决策 者 
调整 市 场 策略 ,减少 风险 ,做 出 正确 的 决策 。 

数据 挖掘 的 过 程 如 图 1-8 所 示 。 数 据 挖掘 的 过 程 由 三 个 阶段 组 成 : (1) 数 据 准 备 ; (2) 
数据 挖掘 ; (3) 结 果 评价 与 表达 。 数 据 挖掘 可 以 与 用 户 或 知识 库 交 互 。 

数据 挖掘 是 通过 分 析 每 个 数据 ,从 大 量 数据 中 寻找 其 规律 的 技术 ,主要 有 数据 准备 、 规 
律 寻找 和 规律 表示 3 个 步骤 。 数 据 准 备 是 从 相关 的 数据 源 中 选取 所 需 的 数据 并 整合 成 用 于 
数据 挖掘 的 数据 集 ; 规律 寻找 是 用 某 种 方法 将 数据 集 所 含 的 规律 找 出 来 ; 规律 表示 是 尽 可 
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图 1-8 数据 挖掘 的 过 程 


能 以 用 户 可 理解 的 方式 (如 可 视 化) 将 找 出 的 规律 表示 出 来 。 

数据 挖掘 的 任务 有 关联 分 析 、 聚 类 分 析 、 分 类 分 析 、 异 常 分 析 、 特 异 群 组 分 析 和 演变 分 
析 等 。 
从 数据 本 身 来 考虑 ,通常 数据 挖掘 需要 有 信息 收集 ` 数 据 集成 .数据 规约 ` 数 据 清理 、 数 
据 变换 ,数据 挖掘 实施 过 程 、 模 式 评估 和 知识 表示 8 个 步骤 。 


1. 信息 收集 


信息 收集 是 根据 确定 的 数据 分 析 对 象 抽象 出 在 数据 分 析 中 所 需要 的 特征 信息 ,然后 选 
择 合适 的 信息 收集 方法 ,将 收集 到 的 信息 存 和 人 数据库。 对 于 海量 数据 ,选择 一 个 合适 的 数据 
存储 和 管理 的 数据 仓库 是 至 关 重 要 的 。 


2. 数据 集成 


数据 集成 是 把 不 同 来 源 、 格 式 、 特 点 性 质 的 数据 在 迎 辑 上 或 物理 上 有 机 地 集中 ,从 而 为 
企业 提供 全 面 的 数据 共享 。 


3. 数据 规约 


执行 多 数 的 数据 挖掘 算法 即使 在 少量 数据 上 也 需要 很 长 的 时 间 , 而 做 商业 运营 数据 挖 
据 时 往往 数据 量 非常 大 。 数 据 规约 技术 可 以 用 来 得 到 数据 集 的 规约 表示 , 它 的 数据 量 小 得 
多 ,但 仍然 接近 于 保持 原 数 据 的 完整 性 ,并 且 规约 后 执行 数据 挖掘 结果 与 规约 前 执行 结果 相 
同 或 几乎 相同 。 


4. 数据 清理 


在 数据 库 中 的 数据 有 一 些 是 不 完整 的 (有 些 感 兴趣 的 属性 缺少 属性 值 ) , 含 噪声 的 (包含 
错误 的 属性 值 ) ,并且 是 不 一 致 的 (同样 的 信息 不 同 的 表示 方式 ), 因 此 需要 进行 数据 清理 ,将 
完整 .正确 一 致 的 数据 信息 存 人 数据 仓库 中 ,不 然 , 挖 掘 的 结果 会 差强人意 。 


5. 数据 变换 


数据 变换 通过 平滑 聚集 ,数据 概 化 和 规范 化 等 方式 ,将 数据 转换 成 适用 于 数据 挖掘 的 形 
式 。 对 于 某 些 实数 型 数据 ,通过 概念 分 层 和 数据 的 离散 化 来 转换 数据 也 是 关键 的 一 步 。 


6. 数据 挖掘 过 程 
数据 挖掘 过 程 根据 数据 仓库 中 的 数据 信息 ,选择 合适 的 分 析 工 具 , 应 用 统计 方法 、 
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推理 ,决策 树 .规则 推理 、 模 糊 集 , 甚 至 神经 网 络 和 遗传 算法 的 方法 处 理 信 息 , 得 出 有 用 的 分 
析 信 息 。 


7. 模式 评估 


模式 评估 是 指 从 商业 角度 ,由 行业 专家 来 分 析 、` 判 断 和 验证 数据 挖掘 结果 的 正确 性 。 
8. 知识 表示 


知识 表示 将 数据 挖掘 所 得 到 的 分 析 信 息 以 可 视 化 的 方式 呈现 给 用 户 , 或 作为 新 的 知识 
存放 在 知识 库 中 , 供 其 他 应 用 程序 使 用 。 

数据 挖掘 过 程 是 一 个 反复 循环 的 过 程 ,每 一 个 步骤 如 果 没有 达到 预期 目标 ,都 需要 回 到 
前 面 的 步骤 ,重新 调整 并 执行 。 不 是 每 项 数据 挖掘 的 工作 都 需要 这 里 列 出 的 每 一 步 ,例如 在 
某 项 工作 中 不 存在 多 个 数据 源 的 时 候 , 步 又 2 数据 集成 的 步骤 便 可 以 省 略 。 

上 述 的 步 又 3( 数 据 规 约 )、 步 又 4( 数 据 清 理 ) 和 步骤 5( 数 据 变换 ) 又 统称 为 数据 预 处 理 
阶段 。 在 数据 挖掘 的 过 程 中 ,至 少 60% 的 成 本 要 花 在 步骤 1 信息 收集 阶段 ,而 至 少 60% 以 
上 的 精力 和 时 间 则 是 花 在 数据 预 处 理 阶段 。 


1.4.9 中间 件 技术 


中 间 件 (middleware) 是 一 种 独立 的 系统 软件 或 服务 程序 ,分 布 式 应 用 软件 借助 这 种 软 
件 在 不 同 的 技术 之 间 共 享 资源 。 中 间 件 位 于 客户 机 /服务 器 的 操作 系统 之 上 ,管理 计算 机 资 
源 和 网 络 通信 ,是 连接 两 个 独立 应 用 程序 或 独立 系统 的 软件 。 相 连接 的 系统 ,即使 它们 具有 
不 同 的 接口 ,但 通过 中 间 件 相互 之 间 仍 能 交换 信息 。 执 行 中 间 件 的 一 个 关键 途径 是 信息 传 
递 。 通 过 中 间 件 ,应 用 程序 可 以 工作 于 多 种 平台 或 操作 系统 (Operating System,OS) 环 境 。 

中 间 件 是 一 类 连接 软件 组 件 和 应 用 的 计算 机 软件 , 它 包 括 一 组 服务 。 以 便于 运行 在 一 
台 或 多 台 机 器 上 的 多 个 软件 通过 网 络 进行 交互 。 该 技术 所 提供 的 互 操作 性 ,推动 了 一 致 分 
布 式 体系 架构 的 演进 ,该 架构 通常 用 于 支持 并 简化 那些 复杂 的 分 布 式 应 用 程序 , 它 包 括 
Web 服务 器 .事务 监控 器 和 消息 队列 软件 。 

中 间 件 是 基础 软件 的 一 大 类 ,属于 可 复 用 软件 的 范畴 。 顾 名 思 义 ,中 间 件 处 于 操作 系统 
软件 与 用 户 的 应 用 软件 的 中 间 。 

中 间 件 在 操作 系统 、 网 络 和 数据 库 之 上 ,应 用 软件 的 下 层 ,总 的 作用 是 为 处 于 自己 上 层 
的 应 用 软件 提供 运行 与 开发 的 环境 ,帮助 用 户 灵活 ,高 效 地 开发 和 集成 复杂 的 应 用 软件 。 在 
众多 关于 中 间 件 的 定义 中 ,被 普遍 接受 的 是 国际 数据 公司 (International Data Corporation ， 
IDC) 的 表述 : 中 间 件 是 一 种 独立 的 系统 软件 或 服务 程序 ,分布 式 应 用 软件 借助 这 种 软件 在 
不 同 的 技术 之 间 共 享 资源 ,中 间 件 位 于 客户 机 服务 器 的 操作 系统 之 上 ,管理 计算 资源 和 网 络 
通信 。 

国际 数据 公司 关于 中 间 件 的 定义 表明 ,中 间 件 是 一 类 软件 ,而 非 一 种 软件 ;中 间 件 不 仅 
仅 实现 互 连 ,还 要 实现 应 用 之 间 的 互 操作 ;中 间 件 是 基于 分 布 式 处 理 的 软件 ,最 突出 的 特点 
是 其 网 络 通信 功能 。 

具体 地 说 ,中 间 件 屏蔽 了 底层 操作 系统 的 复杂 性 ,使 程序 开发 人 员 面 对 一 个 简单 而 统一 
的 开发 环境 ,减少 程序 设计 的 复杂 性 ,将 注意 力 集中 在 自己 的 业务 上 ,不 必 再 为 程序 在 不 同 
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系统 软件 上 的 移植 而 重复 工作 ,从 而 大 大 减少 了 技术 上 的 负担 。 中 间 件 带 给 应 用 系统 的 ,不 
只 是 开发 的 简便 、 开 发 周期 的 缩短 ,也 减少 了 系统 的 维护 .运行 和 管理 的 工作 量 , 还 减少 了 计 
算 机 总 体 费 用 的 投入 。 

由 于 标准 接口 对 于 可 移植 性 、 标 准 协议 对 于 互 操作 性 的 重要 性 ,中 间 件 已 成 为 许多 标准 
化 工作 的 主要 部 分 。 对 于 应 用 软件 开发 ,中 间 件 远 比 操作 系统 和 网 络 服务 更 为 重要 ,中 间 件 
提供 的 程序 接口 定义 了 一 个 相对 稳定 的 高 层 应 用 环境 ,不 管 底层 的 计算 机 硬件 和 系统 软件 
怎样 更 新 换代 ,只 要 将 中 间 件 升级 更 新 ,并 保持 中 间 件 对 外 的 接口 定义 不 变 , 应 用 软件 几乎 
不 需 任何 修改 ,从 而 保护 了 企业 在 应 用 软件 开发 和 维护 中 的 重大 投资 。 

基于 中 间 件 的 物 联网 终端 体系 结构 如 图 1-9 所 示 。 


业务 应 用 1 | | 业务 应 用 2 | …， | 业务 应 用 n 
中 间 件 
操作 系统 
终端 硬件 

传感器 模 组 | | 。 主 控 模 组 通信 模 组 


图 1-9 基于 中 间 件 的 物 联 网 终端 体系 结构 


中 间 件 大 致 可 以 分 为 六 类 : 终端 仿真 /屏幕 转换 中 间 件 .数据 访问 中 间 件 .远程 过 程 调 
用 中 间 件 、 消 息 中 间 件 、 交 易 中 间 件 、 对 象 中 间 件 。 

物 联 网 终端 主要 由 传感器 模 组 、 主 控 模 组 和 通信 模 组 组 成 。 中 间 件 主要 加 载 在 主 控 模 
组 上 ,这样 可 以 加 强 终端 管理 功能 。 中 间 件 对 终端 提供 统一 的 接 人 规范 ,在 通信 层面 屏蔽 不 
同 终端 和 外 设 传输 协议 的 差异 ,实现 标准 化 。 

基于 中 间 件 技术 开发 的 应 用 软件 具有 良好 的 可 扩充 性 、 易 管理 性 、 高 可 用 性 和 可 移 
植 性 。 


(5 物 联网 的 标准 体系 


1.5.1 物 联 网 标准 体系 的 构建 


物 联 网 是 跨行 业 、 跨 领域 .具有 明显 交叉 学 科 特 征 、 面 向 应 用 的 信息 基础 设施 ,因此 构建 
物 联 网 的 标准 体系 时 ,不 仅 要 考虑 已 有 行业 制订 的 标准 ,而 且 要 兼顾 物 联网 服务 体系 的 发 展 
需要 ; 要 避免 不 同行 业 标准 组 织 的 重复 制订 ,还 要 做 好 各 行业 和 部 门 间 的 协调 合作 ,保证 各 
自 标准 相互 衔接 ,满足 跨行 业 、 跨 地 区 的 应 用 需求 。 物 联网 标准 化 体系 应 由 物 联网 总 体 标 
准 、 物 联网 共性 技术 标准 以 及 行业 物 联 网 标准 构成 。 

物 联网 总 体 标准 由 基本 类 标准 、 物 联网 需求 类 标准 、 物 联网 架构 类 标准 、 物 联网 评估 和 
测试 类 标准 构成 。 

基本 类 标准 将 包括 物 联网 基本 术语 、 物 联网 的 总 体 参 考 模型 、 物 联网 标准 指南 等 ; 物 联 
网 需求 类 标准 包括 物 联网 的 总 体 技术 要 求 . 物 联网 安全 的 总 体 技术 要 求 , 物 联网 服务 质量 总 
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体 要 求 、 物 联网 标识 和 解析 总 体 需求 ; 物 联网 架构 类 标准 包括 物 联网 系统 的 总 体 架 构 、 物 联 
网 安全 的 总 体 架构 , 物 联网 标识 和 解析 的 总 体 架构 、 智 慧 城市 总 体 架 构 等 ; 物 联网 评估 和 测 
试 类 标准 包括 物 联网 应 用 评估 、 物 联网 公共 测试 等 。 

物 联网 共性 技术 标准 包括 信息 感知 技术 类 标准 、 信 息 传输 技术 类 标准 、 信 息 开放 技术 类 
标准 和 信息 处 理 技术 类 标准 ,这 些 标 准 是 用 于 不 同行 业 物 联网 的 共性 技术 标准 。 物 联网 共 
性 标准 基于 可 重用 于 物 联网 应 用 的 现 有 各 类 信息 通信 技术 标准 ,同时 各 类 ICT 技术 标准 也 
面向 物 联 网 应 用 不 断 发 展 。 

行业 物 联网 标准 由 公共 服务 和 智能 电网 、 智 能 交通 ,智能 医疗 等 垂直 行业 物 联网 标准 构 
成 。 物 联网 的 纵向 模型 分 为 感知 层 、 网 络 层 、 应 用 层 , 因 此 行业 物 联网 标准 包括 行业 应 用 和 
公共 服务 特定 的 感知 标准 、 网 络 标准 和 行业 应 用 标准 。 行 业 物 联网 标准 将 遵循 物 联网 总 体 
性 标准 和 共性 技术 标准 的 要 求 ,面向 行业 应 用 需求 ,研制 开发 行业 特有 的 技术 、 产 品 和 应 用 
类 标准 。 


1.5.2 物 联网 标准 化 的 特点 


物 联 网 不 是 全 新 的 网 络 和 应 用 。 物 联网 是 在 现 有 电信 和 网 、 互 联网、 行业 专用 网 的 基础 
上 ,增强 网 络 延伸 和 信息 感知 的 能 力 和 信息 处 理 能 力 ,基于 应 用 的 需求 构建 的 信息 通信 禹 合 
应 用 的 基础 设施 ,因此 物 联 网 不 是 新 的 网 络 和 应 用 ,而 是 多 年 来 各 行 各 业 应 用 与 信息 通信 技 
术 柄 合 发 展 的 产物 。 

物 联网 的 应 用 和 感知 设备 呈现 跨行 业 的 多 样 性 。 物 联网 应 用 涉及 经 济 与 社会 发 展 的 各 
个 行业 和 领域 ,并 与 各 自 业 务 流程 紧密 结合 ,具有 应 用 跨度 大 、 需 求 长 尾 化 .产业 分 散 度 高 、 
产业 链 长 和 技术 集成 性 高 的 特点 。 物 联网 的 应 用 按照 最 终 用 户 来 进行 分 类 ,可 以 分 为 公共 
服务 (服务 于 普通 消费 者 ,例如 智能 家 居 、 手 机 支付 等 ) 和 行业 服务 (服务 于 各 行 各 业 , 例 如 智 
能 电网 .智能 物流 等 )。 由 于 应 用 的 不 同 , 应 用 所 需 感知 的 内 容 不 同 , 因 此 对 感知 设备 的 性 能 
和 接口 要 求 也 不 一 样 。 

物 联 网 应 用 的 服务 对 象 包括 各 行 各 业 , 应 用 提供 者 利用 信息 通信 技术 和 网 络 为 其 提供 
服务 。 物 联网 是 各 行 各 业 应 用 与 信息 通信 技术 融合 发 展 的 产物 ,各 行 各 业 的 应 用 提供 者 是 
物 联网 应 用 的 主体 ,其 应 用 种 类 繁多 ,需求 差异 较 大 。 信 息 通信 行业 是 其 中 一 个 行业 ,但 因 
通信 行业 具有 网 络 规模 大 、 覆 盖 范 围 广 的 优势 ,因此 能 够 为 其 他 行业 提供 信息 通信 基础 网 络 
设施 。 

物 联网 的 上 述 特点 决定 了 物 联 网 的 标准 化 特点 , 即 物 联网 的 标准 不 是 某 一 个 行业 或 仅 
仅 信 息 通 信行 业 所 能 够 单独 完成 的 ,而 需要 各 行 各 业 与 信息 通信 行业 共同 制订 ,才能 既 符 合 
行业 需求 ,也 能 将 最 好 的 最 适合 的 信息 通信 技术 应 用 于 各 个 行业 ,因此 物 联网 的 标准 既 包含 
行业 应 用 和 特定 行业 需求 的 标准 ,例如 电力 、 交 通 、 医 疗 等 行业 标准 ,同时 也 包含 信息 通信 行 
业 的 标准 ,例如 感知 、 通 信和 信息 处 理 等 技术 标准 。 


1.5.3 物 联网 标准 化 的 现状 


基于 以 上 的 物 联 网 标准 化 特点 , 物 联网 的 标准 化 工作 在 全 球 的 多 个 标准 化 组 织 竞 相 展 
开 , 包 括 国际 标准 化 组 织 ( 如 ITU、ISO 和 IEC)、 区 域 性 标准 化 组 织 ( 如 ETSID 、 国 家 标准 化 
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组 织 ( 如 CCSA、ATIS、TTA、TTC). 行 业 标 准 化 组 织 、 论 坛 和 任务 组 (如 IETF、IEEE、 
OMA) 等 ,这 些 标 准 化 组 织 各 自 沿 着 自己 擅长 的 领域 进行 研究 ,所 开发 的 标准 有 重 又 也 有 分 
工 ,但 他 们 之 间 的 竞争 大 于 合作 ,目前 尚 缺 乏 整 体 的 协调 、 组 织 和 配合 。 

在 各 标准 化 组 织 进行 研究 的 同时 ,有 些 行 业 标准 在 国家 或 地 区 政府 的 推动 下 也 在 快速 
形成 ,这 些 行业 应 用 的 标准 带动 了 相关 标准 化 组 织 之 间 的 分 工 和 合作 ,为 物 联网 标准 做 出 了 
实质 性 的 贡献 。 目 前 在 行业 应 用 标准 化 方面 ,智能 电网 ,智能 交通 和 智能 医疗 等 方面 的 进展 
比较 快 。 


1.5.4 物 联网 的 国际 标准 


物 联网 涉及 的 范围 很 广 ,因此 目前 与 之 相关 的 国际 标准 化 组 织 和 工业 标准 化 组 织 都 在 
积极 地 从 事物 联网 相关 标准 的 研究 和 制订 工作 。 以 下 介绍 几 个 主要 的 标准 化 组 织 的 研究 进 
展 情况 。 

国际 电信 联盟 (ITU) 提 出 的 物 联网 体系 架构 如 图 1-10 所 示 。 


应 用 层 物 联 网 应 用 
管 安 
各。 | | 业务 应 用 支 近 层 用 支 和 能 力 | [ 特定 支 控 能 帮 
能 | | 网 络 层 组 同 能 力 传送 能 力 能 
力 力 
端点 层 [经 端 能力 | [ 网 关 能 力 | | 器 结 点 能 力 


图 1-10 ITU 提出 的 物 联网 体系 架构 


国际 电信 联盟 (International Telecommunication Union,ITU) 专 门 成 立 了 物 联网 全 球 
标准 化 工作 组 (IoT-GSD ,研究 “ 物 联 网 定义 "和"“ 物 联网 概述 ”两 个 国际 标准 ,并 在 2012 年 2 
月 份 通过 。 

从 图 1-10 中 可 以 看 出 ,在 业务 /应 用 支撑 层 能 力 .管理 能 力 和 安全 能 力 方面 都 分 为 两 个 
方面 , 即 通用 能 力 和 面向 某 类 应 用 的 特定 能 力 , 比 如 智能 电网 和 智能 交通 所 需 的 能 力 可 能 
不 同 。 

电气 和 电子 工程 师 协会 (Institute of Electrical and Electronics Engineers,IEEE) 主要 
研究 IEEE 802. 15 低速 近 距 离 无 线 通信 技术 标准 ,并 针对 智能 电网 开展 了 大 量 工作 。IEEE 
P2030 技术 委员 会 成 立 于 2009 年 5 月 ,分 为 电力 .信息 和 通信 3 个 工作 组 , 旨 在 为 理解 和 定 
义 智能 电网 互 操作 性 提供 技术 基础 和 指南 .针对 NIST 智能 电网 应 用 各 个 环节 ,帮助 电力 系 
统 与 应 用 和 设备 协同 工作 ,确定 模块 和 接口 ,为 智能 电网 相关 的 标准 制订 竟 定 基础 。IEEE 
2010 年 4 月 发 布 了 P2030 草案 。 

为 了 制订 物 联 网 标准 ,欧洲 电信 标准 化 协会 (European Telecommunications Standards 
Institute,ETSD 也 成 立 了 M2M 技术 委员 会 ,对 M2M 需求 .网 络 架构 、 智 能 电网 、 智 能 医 
疗 、 城 市 自动 化 等 方面 进行 了 研究 ,并 陆续 出 台 了 多 个 技术 规范 。 
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互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 则 制订 了 以 IP 协议 为 基 
础 的 ,适应 感知 延伸 层 特点 的 组 网 协议 。 目 前 IETF 的 工作 主要 集中 于 6LoWPAN 和 
ROLL 协议 两 个 方面 ,6LoWPAN 以 IEEE 802. 15. 4 为 基础 ,针对 传感器 结 点 低 开销 、 低 复 
杂 度 , 低 功 耗 的 要 求 , 对 现 有 IPv6 系统 进行 改造 ,压缩 包头 信息 ,提高 对 感知 延伸 层 应 用 的 
使 用 能 力 。 而 ROLL 的 目标 是 使 公共 的 、 可 互 操作 的 第 3 层 路 由 能 够 穿越 任何 数量 的 基本 
链 路 层 协 议和 物理 媒体 。 例 如 ,一 个 公共 路 由 协议 能 够 工作 在 各 种 网 络 ,如 802. 15. 4 无 线 
传 感 网 络 .蓝牙 个 人 区 域 网 络 以 及 未 来 低 功 耗 802. 11Wi-Fi 网 络 之 内 和 之 间 。 

目前 ,6LoWPAN 已 进入 标准 化 的 中 期 阶段 ,而 ROLL 仍 处 于 草案 阶段 。 

第 三 代 合作 伙伴 计划 (3rd Generation Partnership Project,3GPP) 是 3G 技术 标准 的 制 
订 机 构 , 由 欧洲 的 ETSI\ 日 本 的 ARIB 和 TTC、 韩 国 的 TTA 和 美国 的 Tl 在 1998 年 底 发 起 
并 成 立 , 目 标 旨 在 研究 制订 并 推广 基于 演进 的 GSM 核心 网 络 的 3G 标准 , 即 WCDMA、TD- 
SCDMA 、EDGE 等 。 中 国 无 线 通信 标准 组 (CWTS) 于 1999 年 加 入 3GPP。 

3GPP 结合 移动 通信 网 研究 M2M 的 需求 ,架构 以 及 对 无 线 接 入 的 优化 技术 ; 其 SA 和 
RAN 分 别针 对 网 络 架 构 ,核心 网 以 及 无 线 接 入 网 开展 了 工作 ,目前 网 络 架 构 的 增强 已 经 进 
入 实质 性 工作 阶段 ,而 无 线 接 入 网 的 增强 仍 处 于 研究 阶段 。 

ZigBee 联盟 的 ZigBee 协议 基于 IEEE 802. 15. 4 的 物理 层 和 媒体 访问 控制 (MAC) 层 技 
术 , 重 点 制订 了 网 络 层 和 应 用 层 协 议 , 支 持 Mesh 和 簇 状 动态 路 由 网 络 , 在 目前 的 无 线 传 感 
器 网 络 中 得 到 广泛 应 用 。 


1.5.5 物 联 网 的 中 国标 准 


中 国 通信 标准 化 协会 (CCSA) 于 2010 年 2 月 专门 成 立 了 * 泛 在 网 技术 工作 委员 会 ” 
(CTC10) ,下 设 4 个 工作 组 ,对 物 联 网 的 共性 总 体 标准 、 应 用 标准 、 网 络 标 准 和 感知 延伸 等 标 
准 进行 了 全 面 的 研究 和 行业 标准 的 制订 。 

自 成 立 以 来 ,TC10 已 共计 完成 行 标 、 技 术 报 告 和 研究 课题 立项 31 项 ,内 容 涵盖 了 物 联 
网 标准 体系 中 的 3 个 层次 以 及 相关 的 总 体 架构 和 公共 技术 。 其 中 ,涉及 总 体 架构 和 公共 技 
术 的 立项 6 项 ,涉及 物 联网 应 用 层 的 立项 16 项 ,涉及 物 联网 网 络 层 的 立项 4 项 ,涉及 物 联网 
感知 延伸 层 的 立项 5 项。 同时 CCSA 与 智能 交通 标准 工作 组 签订 了 合作 协议 ,对 智能 交通 
的 标准 进行 合作 。 


(.6 物 联网 的 典型 应 用 


毫 无 疑问 ,“ 物 联网 ”时 代 的 来 临 ,一 定 会 给 我 们 的 工作 和 生活 带 来 翻天 覆 地 的 变化 。 物 
联网 技术 的 用 途 广泛 ,遍及 智能 交通 、 环 境 保 护 、 政 府 工 作 、 公 共 安 全 ,平安 家 居 、 智 能 消防 、 
工业 监测 、 环 境 监测 .路 灯 照 明 管控 .景观 照明 管控 ,楼 宇 照 明 管控 ,广场 照明 管控 ,老人 护 
理 ` 个 人 健康 、 花 卉 栽培 水系 监 测 、 食 品 溯源 、` 政 情 侦 查 和 情报 搜集 等 多 个 领域 。 

物 联网 把 新 一 代 的 信息 技术 充分 运用 在 各 行 各 业 之 中 ,具体 地 说 ,就 是 把 感应 器 做 和 信和 
装备 到 电网 铁路、 桥梁 、 隧 道 . 公 路 建筑、 供水 系统 ,大 坝 、 油 气管 道 等 各 种 物体 中 ,然后 将 
“ 物 联网 ”与 现 有 的 互联 网 整合 起 来 ,实现 人 类 社会 与 物理 系统 的 整合 ,在 这 个 整合 的 网 络 当 
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中 ,存在 能 力 超级 强大 的 中 心计 算 机 群 ,能 够 对 整合 网 络 内 的 人 员 .机 器 ,设备 和 基础 设施 实 
施 实 时 的 管理 和 控制 ,在 此 基础 上 ,人 类 可 以 以 更 加 精细 和 动态 的 方式 管理 生产 和 生活 , 达 
到 “智慧 "状态 ,提高 资源 利用 率 和 生产 力 水 平 ,改善 人 与 自然 间 的 关系 。 


1.6.1 物 联 网 在 家 庭 中 的 应 用 


应 用 物 联网 技术 的 智能 家 居 系 统 , 依 照 人 体 工程 学 原理 ,融合 个 性 需求 ,将 与 家 居 生 活 
有 关 的 各 个 子 系统 ,如 安防 、 照 明 控 制 窗帘 控制 ,煤气 阀 控制 .多 媒体 、 家 用 电器 、 地 板 采 暧 
等 有 机 地 结合 在 一 起 ,通过 网 络 化 综合 智能 控制 和 管理 ,实现 “以 人 为 本 ”的 全 新 家 居 生 活 
体验 。 

假如 拥有 了 智能 家 居 系统 , 当 你 不 在 家 时 ,你 可 以 远程 监视 家 中 的 孩子 或 老人 的 状况 ; 
你 可 以 在 回 到 家 之 前 打开 家 里 空调 ; 当 你 回 到 家 时 ,你 家 的 大 门 会 自动 为 你 打开 ; 空调 已 
经 在 工作 ,吹出 令 人 舒适 的 凉 风 ,而 原来 处 于 通风 状态 而 打开 的 门窗 也 随 着 空调 的 启动 而 自 
动 关闭 ,使 室内 气温 刚好 达到 了 适合 人 体 的 温度 ; 当 你 进入 家 门 后 ,只 要 按 一 下 * 回 家 ” 键 ， 
家 中 的 电视 自动 开启 ,室内 灯光 自动 点 亮 , 背 景 音乐 自动 响起 ; 你 的 冰箱 会 将 你 最 需要 的 食 
物 下 单 通知 商家 ,为 你 配送 到 家 ; 当 你 家 中 的 甲醛 ,一氧化碳 ,二 氧化 碳 等 有 毒 有 害 气 体 超 
标 时 ,新 鲜 空气 系统 会 自动 启动 ,主人 的 手机 也 会 接 到 报警 短信 提醒 ; 你 只 要 用 一 个 遥控 器 
就 能 控制 家 中 所 有 的 电器 ; 当 你 要 外 出 时 ,只 要 按 一 下 * 离 家 " 键 ,家 中 所 有 需要 关闭 的 灯 和 
电器 自动 关闭 ,安防 系统 会 自动 开启 ; 当 你 家 中 没 人 时 ,园艺 系统 自动 为 你 酒水、 施肥 、 喷 
药 ; 当 你 家 中 的 电器 出 现 了 故障 , 物 联网 也 能 自动 感知 并 提醒 主人 维修 公司 的 联系 方式 , 帮 
助 你 预约 维修 人 员 上 门 修理 …… 


1.6.2 物 联网 在 医学 中 的 应 用 


医学 物 联网 ,就 是 将 物 联网 技术 应 用 于 医疗 、 健 康 管理 、 老 年 健康 照顾 等 医学 领域 。 

医学 物 联网 中 的 “ 物 ”, 就 是 各 种 与 医疗 服务 活动 相关 的 人 和 事物 ,如 健康 者 、 亚 健康 者 、 
病人 、 医 生 、 护 士 、 医 疗 设备 ,身体 检测 仪器 药品 等 。 医 学 物 联网 中 的 “ 联 ”, 即 信息 交互 连 
接 ,把 上 述 “ 事 物 ” 产 生 的 相关 信息 交互 ,传输 和 共享 。 医 学 物 联 网 中 的 “网 ”是 通过 把 “ 物 ”" 有 
机 地 连 成 一 张 * 网 ”就 可 感知 医学 服务 对 象 . 各 种 数据 的 交换 和 无 颖 连接 ,达到 对 医疗 卫生 
保健 服务 的 实时 动态 监控 ,连续 跟踪 管理 和 精准 的 医疗 健康 决策 。 

那么 什么 是 “ 感 "“ 知 ”“ 行 " 呢 ?“ 感 "就 是 数据 采集 和 信息 获得 ,例如 ,连续 监测 患者 的 
体温 、 血 压 、 脉 捕 等 人 体 特征 参数 .周边 环境 信息 、 感 知 设备 和 人 员 情 况 等 。“ 知 ” 特 指数 据 分 
析 , 如 高 血压 患者 连续 的 血压 值 测 到 之 后 ,计算 机 会 自动 分 析出 他 的 血压 状况 是 否 正 常 ,如 果 
不 正常 ,就 会 生成 警报 信号 ,及 时 通知 医生 知晓 情况 ,调整 医疗 方案 ,并 加 以 实施 ,这 就 是 “ 行 ”。 

应 用 物 联 网 技术 的 智慧 健康 ,将 数字 健康 档案 ,动态 健康 管理 、 医 疗 服务 平台 三 者 的 有 
机 结合 ,通过 自我 健康 管理 (健康 教育 、 健 康 记录 等 )、 健 康 监测 (包括 智能 健康 指标 检测 、 健 
康 预警 .健康 指导 等 ) 、 远 程 医疗 协助 (包括 用 药 指 导 、 腾 食指 导 、 运 动 指导 、 慢 性 康复 指导 
等 ) ,相互 作用 , 环 环 相 扣 , 实 现 对 个 体 健康 的 全 程 智能 管理 。 

你 如 果 拥 有 了 智慧 健康 系统 ,你 可 以 随时 用 电子 秤 、 人 体 脂肪 分 析 仪 .电子 体温 计 、 血 压 
计 和 心率 监测 仪 等 人 体 状况 传 感 设备 ,自动 测量 自己 的 血压 、 血 糖 、 血 氧 、 心 电 等 与 健康 有 关 
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的 数据 ,管理 自己 的 健康 记录 ; 你 也 可 以 选择 让 你 的 健康 数据 自动 传送 到 健康 控制 中 心 ,你 
的 健身 教练 将 根据 健康 数据 帮助 你 制订 下 一 步 的 健身 计划 和 健康 食谱 ,你 的 特约 医生 将 根 
据 健康 数据 了 解 你 的 健康 状况 ,必要 时 可 以 对 你 进行 远程 会 诊 ,再 提出 医疗 意见 ; 家 有 老人 
如 果 突 发 疾病 ,信息 会 自动 发 送 给 子女 ,并 会 自动 传送 医院 的 急救 中 心 …… 


1.6.3 物 联网 在 交通 中 的 应 用 


应 用 物 联网 技术 的 智能 交通 系统 ,利用 交通 信息 系统 、 交 通 监 控 系 统 、 旅 行 信息 系统 、 智 
能 旅游 系统 、 车 载 智 能 信息 设备 等 ,提供 实时 的 交通 路 况 和 停车 信息 ,进行 智能 的 分 析 、 控 制 
与 引导 ,提高 出 行者 的 方便 感 和 舒适 度 。 

你 如 果 拥 有 了 智能 交通 系统 , 当 你 开车 出 门 时 ,智能 手机 和 车 载 智能 导航 仪 能 显示 实时 
路 况 .自动 帮 你 选择 最 近 或 最 快 路 径 ; 你 要 停车 ,可 以 查 到 附近 停车 场 的 位 置 和 路 径 , 现 在 
还 剩 下 多 少 车 位 、 你 进入 该 停车 场 时 还 有 空 车 位 的 概率 是 多 少 等 信息 ,你 还 可 以 预定 车 位 ; 
你 停车 时 万 一 忘 了 锁 车 门 , 你 离开 20 米 以 外 的 时 间 超 过 30 秒 , 车 子 将 会 自动 把 车 门 锁 好 ， 
当 有 人 动 你 的 车 子 , 你 的 手机 会 收 到 报警 信号 ; 当 你 在 半路 上 想 就 餐 , 只 要 打开 手机 ,输入 
“饭店 ”, 搜 索引 擎 就 把 你 所 在 位 置 附近 的 餐厅 的 地 图 呈现 在 你 的 手机 屏幕 上 ;， 当 你 到 某 个 
风景 区 旅游 ,智能 导游 仪 可 以 图 文 并 茂 地 为 你 讲解 每 个 景点 的 详细 情况 …… 

安全 是 交通 管理 的 最 重要 的 一 环 。 对 于 智能 交通 规划 和 管理 来 说 ,交通 安全 也 是 在 规 
划 中 不 可 或 缺 的 部 分 。 要 保障 交通 安全 ,需要 各 种 各 样 的 手段 进行 综合 配套 管理 ,包括 对 酒 
驾 行 为 的 严厉 打击 交通 设 施 的 完善 .交通 行为 的 规范 等 。 

疲劳 驾驶 是 交通 事故 ,交通 意外 的 最 重要 的 诱因 之 一 ,所 以 对 于 疲劳 驾驶 的 预防 和 管理 
都 一 直 受 到 高 度 的 重视 。 早 期 的 措施 一 般 是 从 管理 制度 上 去 要 求 , 如 持续 行驶 高 速 4 小 时 
需要 进入 服务 站 休息 .更换 司机 等 。 现 在 随 着 物 联网 感知 技术 的 发 展 , 基 于 智能 视频 分 析 的 
疲劳 检测 技术 也 开始 进入 实用 阶段 。 

基于 智能 视频 分 析 的 疲劳 检测 技术 ,是 通过 对 人 眼 、 面 部 细微 特征 进行 分 析 , 并 结合 
辆 行驶 速度 等 要 素 ,对 处 于 疲劳 状态 的 驾驶 员 实 现 本 地 的 声 光 提醒 ,使 驾驶 员 一 直 处 于 良好 
的 精神 状态 ,防止 安全 事故 的 发 生 。 通 过 智能 视频 分 析 技 术 , 普 通 视频 采集 设备 将 变 身 为 知 
能 物 联网 感知 器 ,可 以 感知 很 多 关键 信息 。 

在 智能 交通 系统 中 ,通过 对 客流 统计 数据 、 违 规 车 牌照 片 、 司 机 疲劳 状态 等 关键 信息 的 
再 利用 ,为 智能 交通 中 的 交通 调度 、 交 通 规划 、 交 通行 为 管理 以 及 交通 安全 预防 都 可 以 提供 
非常 优秀 的 应 用 。 


1.6.4 物 联网 在 物流 中 的 应 用 


美国 IBM 公司 于 2009 年 提出 了 “智慧 供应 链 ” 的 概念 , 即 建立 一 个 面向 未 来 的 具有 先 
进 \ 互 联 和 智能 三 大 特征 的 供应 链 ,通过 传感器 、RFID 标签 .制动器 .GPS 和 其 他 设备 及 系 
统 产 生 实时 的 物流 信息 , 紧 接 着 “智慧 物流 ”的 概念 由 此 延伸 而 出 。 

与 智能 物流 强调 构建 一 个 虚拟 的 物流 动态 信息 化 的 互联 网 管理 体系 不 同 , “智慧 物 流 ” 
更 重视 将 物 联网 、 传 感 网 与 现 有 的 互联 网 整合 起 来 ,通过 精细 动态 、 科 学 的 管理 ,实现 物流 
的 自动 化 可视化 .可 控 化 .智能 化 、 网 络 化 ,从 而 提高 资源 利用 率 和 生产 力 水 平 ,创造 更 丰富 
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社会 价值 的 综合 内 涵 。 

在 2009 年 ,美国 总 统 奥巴马 提出 将 “智慧 的 地 球 ” 作 为 美国 国家 战略 ,认为 IT 产业 下 一 
阶段 的 任务 是 把 新 一 代 IT 技术 充分 运用 到 各 行 各 业 之 中 ,具体 地 说 ,就 是 把 感应 器 戏 人 和 
装备 到 电网 .铁路 ,桥梁 、 隧 道 .公路 建筑. 供水 系统 ,大 坝 、 油 气管 道 等 各 种 物体 中 ,并 且 被 
普遍 连接 ,形成 所 谓 “ 物 联网 ”, 然 后 将 “ 物 联 网 ”与 现 有 的 互联 网 整合 起 来 ,实现 人 类 社会 与 
物理 系统 的 整合 ,在 这 个 整合 的 网 络 当 中 ,存在 能 力 超级 强大 的 中 心计 算 机 群 ,能 够 对 整合 
网 络 内 的 人 员 机器、 设备 和 基础 设施 实施 实时 的 管理 和 控制 ,在 此 基础 上 ,人 类 可 以 以 更 加 
精细 和 动态 的 方式 管理 生产 和 生活 ,达到 “智慧 ”状态 ,提高 资源 利用 率 和 生产 力 水 平 ,改善 
人 与 自然 间 的 关系 。 

智慧 物流 是 利用 集成 智能 化 技术 ,使 物流 系统 能 模仿 人 的 智能 ,具有 思维 、 感 知 、 学 习 、 
推理 判断 和 自行 解决 物流 中 某 些 问 题 的 能 力 。 即 在 流通 过 程 中 获取 信息 从 而 分 析 信 息 做 出 
决策 ,使 商品 从 源头 开始 被 实施 跟踪 与 管理 ,实现 信息 流 快 于 实物 流 。 即 可 通过 RFID、 传 
感 器 ,移动 通信 技术 等 让 配送 货物 自动 化 信息 化 和 网 络 化 。 

国际 电信 联盟 于 2005 年 的 报告 曾 描绘 “ 物 联网 ”时 代 的 图 景 : 当 司机 出 现 操 作 失 误 时 
汽车 会 自动 报警 ; 公文 包 会 提醒 主人 忘 带 了 什么 东西 ; 衣服 会 “告诉 ”洗衣 机 对 颜色 和 水 温 
的 要 求 等 。 物 联网 在 物流 领域 内 的 典型 应 用 情景 是 : 假如 物流 公司 的 某 辆 货车 应 用 了 物 联 
网 技术 ,那么 当 装 载 超重 时 ,汽车 会 自动 告诉 司机 超载 了 ,并 且 超 载 多 少 ,但 空间 还 有 剩余 ， 
还 会 建议 司机 轻重 货物 应 该 如 何 搭配 ; 当 搬运 人 员 野 蛮 印 货 时 , 某 件 货物 可 能 会 大 叫 :“ 你 
扔 疼 我 了 ”, 或 者 说 “亲爱 的 ,请 你 不 要 太 粗 鲁 , 可 以 吗 ?”; 当 司 机 在 和 别人 扯 闲 话 , 货 车 会 模 
仿 老 板 的 声音 大 喊 :“ 帅 哥 , 该 发 车 了 !” 


1.6.5 物 联网 在 安防 中 的 应 用 


物 联 网 技术 的 普及 应 用 ,使 得 城市 的 安防 从 过 去 简单 的 安全 防护 系统 向 城市 综合 化 体 
系 演变 ,城市 的 安防 项 目 涵 盖 众 多 的 领域 ,有 街道 社区 、 楼 宇 建筑 .银行 邮局 .道路 监控 、 机 动 
车 辆 \ 警 务 人 员 ,移动 物体 、 船 只 等 。 特 别 是 针对 重要 场所 ,例如 ,机 场 \ 码 头 、 水 电气 厂 、 桥 梁 
大 坝 、 河 道 、 地 铁 等 场所 ,引入 物 联网 技术 后 可 以 通过 无 线 移动 .跟踪 定位 等 手段 建 立 全 方位 
的 立体 防护 。 

物 联 网 安防 兼顾 了 整体 城市 管理 系统 、 环 保 监 测 系 统 、 交 通 管理 系统 、 应 急 指挥 系统 等 
应 用 的 综合 体系 。 特 别 是 车 联网 的 兴起 ,在 公共 交通 管理 上 .车辆 事故 处 理 上 ,车辆 偷盗 防 
范 上 可 以 更 加 快捷 准确 的 跟踪 定位 处 理 。 还 可 以 随时 随地 的 通过 车 辆 获取 更 加 精准 的 灾难 
事故 信息 道路 流量 信息 ,车 辆 位 置信 息 、 公 共 设 施 安全 信息 、 气 象 信息 等 等 信息 来 源 。 

智能 化 安防 技术 的 主要 内 涵 是 其 相关 内 容 和 服务 的 信息 化 、 图 像 的 传输 和 存储 ,数据 的 
存储 和 处 理 等 。 

从 产品 的 角度 上 分 析 : 智能 化 安防 系统 应 具备 防盗 报警 系统 、 视 频 监控 报警 系统 .出 人 
口 控制 报警 系统 .保安 人 员 巡 更 报警 系统 .GPS 车 辆 报警 管理 系统 和 110 报警 联网 传输 系 
统 等 子 系统 。 这 些 子 系统 可 以 是 单独 设置 .独立 运行 ,也 可 以 由 中 央 控 制 室 集中 进行 监控 ， 
还 可 以 与 其 他 综合 系统 进行 集成 和 集中 监控 。 

防 次 报警 系统 分 为 边界 防卫 、 建 筑 物 区 域内 防卫 ,单位 企业 空旷 区 域内 防卫 ,单位 企业 
内 实物 设备 器 材 防卫 等 。 系 统 的 前 端 设 备 为 各 种 类 别 的 报警 传感器 或 探测 器 ; 系统 的 终端 
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是 显示 /控制 /通信 设备 , 它 可 应 用 独立 的 报警 控制 器 ,也 可 采用 报警 中 心 控制 台 控制 。 不 论 
采用 什么 方式 控制 , 均 必 须 对 设防 区 域 的 非法 入 侵 进行 实时 、 可 靠 和 正确 无 误 的 复核 和 报 
和 警 。 漏 报警 是 绝对 不 允许 发 生 的 , 误 报警 应 该 降低 到 可 以 接受 的 限度 。 考 虑 到 值勤 人 员 容 
易 受 到 作案 者 的 武力 威胁 与 抢劫 ,系统 应 设置 紧急 报警 按钮 ,并 留 有 与 110 报警 中 心 联网 的 
接口 。 

视频 监控 报警 系统 常规 应 用 于 建筑 物 内 的 主要 公共 场所 和 重要 部 位 进行 实时 监控 、 录 
像 和 报警 时 的 图 像 复 核 。 视 频 监控 报警 系统 的 前 端 是 各 种 摄像 机 、 视 频 检 测报 警 器 和 相关 
附属 设备 ; 系统 的 终端 设备 是 显示 /记录 /控制 设备 ,常规 采用 独立 的 视频 监控 中 心 控制 台 
或 监控 报警 中 心 控制 台 。 安 全 防范 用 的 视频 监控 报警 系统 常规 应 与 防盗 报警 系统 .出 人 口 
控制 系统 联动 ,由 中 央 控 制 室 进行 集中 管理 和 监控 。 独 立 运 行 的 视频 监控 报警 系统 ,画面 显 
示 能 任意 编程 .自动 或 手动 切换 ,画面 上 必须 具备 摄像 机 的 编号 地址 .时 间 日 期 等 信息 显 
示 ,并 能 自动 将 现场 画面 切换 到 指定 的 监视 器 上 显示 ,对 重要 的 监控 画面 应 能 长 时 间 录 像 。 
这 类 系统 应 具备 紧急 报警 按钮 和 留 有 110 报警 中 心 联网 的 通信 接口 。 

出 入 口 控制 报警 系统 是 采用 现代 电子 信息 技术 ,在 建筑 物 的 出 入 口 对 人 (或 物 ) 的 进出 ， 
实施 放行 拒绝、 记录 和 报警 等 操作 的 一 种 自动 化 系统 。 这 种 操作 系统 通常 由 出 入 口上 标识 
别 系 统 、 出 入 口 信息 管理 系统 、 出 入 口 控制 执行 机 构 三 个 部 分 组 成 。 系 统 的 前 端 设 备 为 各 类 
出 入 口 目标 识别 装置 和 门 锁 开 启 闭合 执行 机 构 ; 传输 方式 采用 专线 或 网 络 传输 ; 系统 的 终 
端 设备 是 显示 /控制 /通信 设备 ,常规 采用 独立 的 门禁 控制 器 ,也 可 通过 计算 机 网 络 对 各 门禁 
控制 器 实施 集中 监控 。 出 入 口 控制 报警 系统 常规 要 与 防盗 报警 系统 、 闭 路 视频 监控 报警 系 
统 和 消防 系统 联动 ,才能 有 效 地 实现 安全 防范 。 出 入 口 目标 识别 系统 可 分 为 对 人 的 识别 和 
对 物 的 识别 。 以 对 人 的 识别 为 例 , 可 分 为 生物 特征 系统 和 编码 标识 别 系统 两 类 。 

一 个 完整 的 智能 化 视频 监控 安全 防范 系统 ,还 应 包括 安保 人 员 巡 更 报警 系统 ,访客 报警 
系统 以 及 其 他 智能 化 安全 防范 系统 。 巡 更 报警 系统 通过 预先 编制 的 保安 巡 逮 软件 ,应 用 通 
行 卡 读 出 器 对 保安 人 员 巡 逻 的 运动 状态 (是 否 准时 ,遵守 顺序 等 ) 进 行 监督 ,作出 记录 ,并 对 
意外 情况 及 时 报警 。 访 客 报警 系统 是 使 居住 在 大 楼 内 的 人 员 与 访客 能 双向 通话 或 可 视 通 
话 , 大 楼 内 居住 的 人 员 可 对 大 楼 内 的 入 口 门 或 单元 门 实施 遥控 开启 或 关闭 , 当 发 生意 外 情况 
时 能 及 时 向 保安 中 心 报警 。 

其 他 智能 化 安全 防范 系统 是 根据 特殊 的 安全 防范 管理 工作 的 需要 而 设置 的 。 如 GPS 
车 辆 报警 管理 系统 和 110 报警 联网 传输 系统 ,还 必须 对 车 库 ( 或 停车 场 等 ) 内 车 辆 通行 道路 
口 实施 出 和 控制 ,监视 .行车 信号 指示 以 及 停车 计 费 等 综合 管理 ; 另外 如 重要 仓库 的 安全 防 
范 系统 ,必须 对 建筑 物 内 的 重要 仓储 库 ,进行 有 效 的 出 和 人口 控 制 、 防 盗 ,监视 控制 和 管理 等 。 


1.6.6 物 联网 在 电网 中 的 应 用 


智能 电网 又 称 为 “电网 2. 0”, 就 是 将 物 联网 技术 应 用 到 电力 网 络 中 ,实现 电网 管理 的 智 
能 化 。 

智能 电网 建立 在 集成 的 、 高 速 的 、 双 向 的 通信 和 网络 基础 上 ,通过 先进 的 传 感 和 测量 技术 、 
先进 的 设备 技术 ,先进 的 控制 方法 以 及 先进 的 决策 支持 系统 技术 的 应 用 ,实现 电网 的 可 靠 、 
安全 ,经 济 、 高 效 \ 环 境 友好 和 使 用 安全 的 目标 ,其 主要 特征 包括 自 愈 、 激 励 用 户 、 抵 御 攻 击 、 
提供 满足 用 户 需 求 的 电能 质量 、 容 许 各 种 不 同 发 电 形式 的 接 入 、 启 动 电力 市 场 以 及 资源 的 优 


第 1 章 “” 物 联网 概述 


化 高 效 运行 。 

智能 电网 由 很 多 部 分 组 成 ,可 分 为 : 智能 变电站 、 智 能 配 电网 .智能 电能 表 、 智 能 交互 终 
端 .智能 调度 .智能 家 居 、 智 能 用 电 楼 宇智 能 城市 用 电网 、 智 能 发 电 系统 、 新 型 储 能 系统 等 。 

建立 高 速 、, 双 向 、 实 时 、 集 成 的 通信 系统 是 实现 智能 电网 的 基础 ,没有 这 样 的 通信 系统 ， 
任何 智能 电网 的 特征 都 无 法 实现 ,因为 智能 电网 的 数据 获取 、 保 护 和 控制 都 需要 这 样 的 通信 
系统 的 支持 ,因此 建立 这 样 的 通信 系统 是 迈 向 智能 电网 的 第 一 步 。 同 时 通信 系统 要 和 电网 
一 样 深入 到 千家 万 户 ,这 样 就 形成 了 两 张 紧密 联系 的 网 络 , 即 电网 和 通信 网 络 , 只 有 这 样 才 
能 实现 智能 电网 的 目标 和 主要 特征 。 

参数 量 测 技术 是 智能 电网 基本 的 组 成 部 件 ,先进 的 参数 量 测 技术 获得 数据 并 将 其 转换 
成 数据 信息 ,以 供 智能 电网 的 各 个 方面 使 用 。 它 们 评估 电网 设备 的 健康 状况 和 电网 的 完整 
性 ,进行 表 计 的 读 取 、 消 除 电费 估计 以 及 防止 窃 电 、 组 减 电网 阻塞 以 及 与 用 户 的 沟通 。 

未 来 的 智能 电网 将 取消 所 有 的 电磁 表 计 及 其 读 取 系 统 , 取 而 代 之 的 是 可 以 使 电力 公司 
与 用 户 进行 双向 通信 的 智能 固态 表 计 。 基 于 微 处 理 器 的 智能 表 计 将 有 更 多 的 功能 ,除了 可 
以 计量 每 天 不 同时 段 电 力 的 使 用 和 电费 外 ,还 有 存储 电力 公司 下 达 的 高 峰 电 力 价格 信号 及 
电费 费 率 ,并 通知 用 户 实施 什么 样 的 费 率 政策 。 更 高 级 的 功能 有 用 户 自行 根据 费 率 政策 , 编 
制 时 间 表 ,自动 控制 用 户 内 部 电力 使 用 的 策略 。 

智能 电网 广泛 应 用 先进 的 设备 技术 , 极 大 地 提高 输 配 电 系统 的 性 能 。 未 来 的 智能 电网 
中 的 设备 将 充分 应 用 在 材料 、 超 导 、 储 能 、 电 力 电子 和 微 电 子 技术 方面 的 最 新 研究 成 果 , 从 而 
提高 功率 密度 、 供 电 可靠 性 和 电能 质量 以 及 电力 生产 的 效率 。 

未 来 智能 电网 将 主要 应 用 三 个 方面 的 先进 技术 : 电力 电子 技术 、 超 导 技 术 以 及 大 容量 
储 能 技术 。 通 过 采用 新 技术 和 在 电网 和 负荷 特性 之 间 寻 求 最 佳 的 平衡 点 来 提高 电能 质量 。 
通过 应 用 和 改造 各 种 各 样 的 先进 设备 ,如 基于 电力 电子 技术 和 新 型 导体 技术 的 设备 ,来 提高 
电网 输送 容量 和 可 靠 性 。 配 电 系 统 中 要 引进 许多 新 的 储 能 设备 和 电源 ,同时 要 利用 新 的 网 
络 结构 ,如 微 电 网 。 

先进 的 控制 技术 是 指 智能 电网 中 分 析 、` 诊 断 和 预测 状态 并 确定 和 采取 适当 的 措施 以 消 
除 ` 减 轻 和 防止 供电 中 断 和 电能 质量 扰动 的 装置 和 算法 。 这 些 技术 将 提供 对 输电 、 配 电 和 用 
户 侧 的 控制 方法 并 且 可 以 管理 整个 电网 的 有 功 和 无 功 。 从 某 种 程度 上 说 ,先进 控制 技术 紧 
密 依靠 并 服务 于 其 他 四 个 关键 技术 领域 ,如 先进 控制 技术 监测 基本 的 元 件 ( 参 数量 测 技术 ) ， 
提供 及 时 和 适当 的 响应 (集成 通信 技术 ; 先进 设备 技术 ?并且 对 任何 事件 进行 快速 的 诊断 
(先进 决策 技术 ) 。 另 外 ,先进 控制 技术 支持 市 场 报价 技术 以 提高 电力 资产 的 管理 水 平 。 

未 来 先进 控制 技术 的 分 析 和 诊断 功能 将 引进 预 设 的 专家 系统 ,在 专家 系统 允许 的 范围 
内 ,采取 自动 的 控制 行动 。 这 样 所 执行 的 行动 将 在 秒 一 级 水 平 上 ,这 一 自 愈 电网 的 特性 将 极 
大 地 提高 电网 的 可 靠 性 。 当 然 先 进 控制 技术 需要 一 个 集成 的 高 速 通信 系统 以 及 对 应 的 通信 
标准 ,以 处 理 大 量 的 数据 。 先 进 控制 技术 将 支持 分 布 式 智能 代理 软件 、 分 析 工 具 以 及 其 他 应 
用 软件 。 

决策 支持 技术 将 复杂 的 电力 系统 数据 转化 为 系统 运行 人 员 一 目 了 然 的 可 理解 的 信息 ， 
运用 动画 技术 .动态 着 色 技术 、 虚 拟 现 实 技术 以 及 其 他 数据 展示 技术 来 帮助 系统 运行 人 员 认 
识 、 分 析 和 处 理 紧急 问题 。 

在 许多 情况 下 ,系统 运行 人 员 做 出 决策 的 时 间 从 小 时 缩短 到 分 钟 ,甚至 到 秒 ,这 样 智能 
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电网 需要 一 个 广阔 的 无 颖 的、 实时 的 应 用 系统 、 工 具 和 培训 ,以 使 电网 运行 人 员 和 管理 者 能 
够 快速 的 做 出 决策 。 
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物 联 网 是 通过 射频 识别 、 红 外 感应 器 、 全 球 定位 系统 、 激 光 扫 描 器 等 信息 传 感 设备 ,按照 
约定 的 协议 ,把 任何 物品 与 互联 网 相连 接 , 进 行 信息 交换 和 通信 ,以 实现 对 物品 的 智能 化 识 
别 .定位 .跟踪 ,监控 和 管理 的 一 种 网 络 。 

物 联 网 具备 四 个 特征 : 全 面 感知 .可靠 传 输 、 智 能 处 理 和 综合 应 用 。 

物 联 网 体系 结构 分 为 三 个 层次 : 感知 层 、 网 络 层 、 应 用 层 。 

感知 层 由 传感器 结 点 和 接 和 网关 等 组 成 ,传感器 感知 外 部 世界 的 温度 ,湿度 .声音 和 图 
像 等 信息 ,并 传送 到 上 层 的 网 关 , 由 网 关 将 收集 到 的 信息 通过 网 络 层 提交 到 后 台 处 理 。 当 后 
台 对 数据 处 理 完 毕 后 ,发 送 执行 命令 到 相应 的 执行 机 构 , 完 成 对 被 控 对 象 或 被 测 对 象 的 控制 
参数 调整 ,或 者 发 出 某 种 信号 以 实现 远程 监控 。 

网 络 层 是 物 联网 的 神经 中 枢 和 大 脑 。 实 现 信 息 传递 和 人 处理。 网 络 层 包括 通信 与 互联 网 
的 融合 网 络 、 网 络 管理 中 心 和 信息 处 理 中心 等 。 网 络 层 将 感知 层 获 取 的 信息 进行 传递 和 处 
理 ,类 似 于 人 体 结构 中 的 神经 中 枢 和 大 脑 。 

应 用 层 主 要 是 根据 行业 特点 ,借助 物 联网 的 技术 手段 ,开发 各 类 的 行业 应 用 解决 方案 ， 
将 物 联网 的 优势 与 行业 的 生产 经 营 、 信 息 化 管理 .组 织 调度 结合 起 来 ,形成 各 类 的 物 联 网 解 
决 方案 ,构建 智能 化 的 行业 应 用 。 

物 联网 的 关键 技术 很 多 ,主要 包括 RFID 技术 无线 传感器 网 络 技术 `.M2M 技术 .GPS 
全 球 定位 技术 . 云 计 算 技 术 数据 挖掘 技术 .中 间 件 技术 .IPv6 技术 等 。 

RFID 是 一 种 无 线 通信 技术 ,可 以 通过 无 线 电 讯号 识别 特定 目标 并 读 写 相 关 数 据 ,而 无 
须 识 别 系 统 与 特定 目标 之 间 建 立 机 械 或 者 光学 接触 。 

无 线 传感器 网 络 (Wireless Sensor Network, WSN) 是 由 大 量 的 静止 或 移动 的 传感器 以 
自 组 织 和 多 跳 的 方式 构成 的 无 线 网 络 ,以 协作 地 感知 采集、 处 理 和 传输 网 络 覆 盖 地 理 区 域 
内 被 感知 对 象 的 信息 ,并 最 终 把 这 些 信息 发 送 给 网 络 的 所 有 者 。 

M2M 是 “机 器 对 机 器 通信 (Machine to Machine)” 或 者 “人 对 机 器 通信 (Man to 
Machine) ”的 简称 ,主要 是 指 通 过 “通信 和 网络 "传递 信息 从 而 实现 机 器 对 机 器 或 人 对 机 器 的 
数据 交换 ,也 就 是 通过 通信 和 网 络 实现 机 器 之 间或 人 与 机 器 之 间 的 互联 、 互 通 。 

GPS 全 球 定位 系统 是 由 空间 星座 、 地 面 控制 和 用 户 设 备 三 部 分 构成 的 。GPS 技术 能 够 
快速 、 高 效 \ 准 确 地 提供 点 、 线 、 面 要 素 的 精确 三 维 坐 标 以 及 其 他 相关 信息 ,具有 全 天 伐 、 高 精 
度 、 自 动 化 高 效益 等 显著 特点 ,广泛 应 用 于 军事 、 民 用 交通 (船舶 飞机、 汽车 等 ) 导 航 、 大 地 
测量 .摄影 测量 .野外 考察 探险 .土地 利用 调查 、 精 确 农 业 以 及 日 常生 活 ( 人 员 跟 踪 、 休 闲 娱 
乐 ) 等 不 同 领域 。 

云 计算 (cloud computing) 是 基于 互联 网 的 相关 服务 的 增加 、 使 用 和 交付 模式 ,通常 涉 
及 通过 互联 网 来 提供 动态 易 扩 展 且 经 常 是 虚拟 化 的 资源 。 云 是 网 络 、 互 联网 的 一 种 比喻 说 
法 。 过 去 往往 用 云 来 表示 电信 网 ,后 来 也 用 来 表示 互联 网 和 底层 基础 设施 的 抽象 。 

数据 挖掘 一 般 是 指 从 大 量 的 数据 中 通过 算法 搜索 隐藏 于 其 中 信息 的 过 程 。 数 据 挖掘 通 
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常 与 计算 机 科学 有 关 , 并 通过 统计 在 线 分 析 处 理 、 情 报 检索 、 机 器 学 习 、 专 家 系统 (依靠 过 去 
的 经 验 法 则 ) 和 模式 识别 等 诸多 方法 来 实现 上 述 目 标 。 

中 间 件 (middleware) 是 一 种 独立 的 系统 软件 或 服务 程序 ,分 布 式 应 用 软件 借助 这 种 软 
件 在 不 同 的 技术 之 间 共 享 资源 。 中 间 件 位 于 客户 机 /服务 器 的 操作 系统 之 上 ,管理 计算 机 资 
源 和 网 络 通信 ,是 连接 两 个 独立 应 用 程序 或 独立 系统 的 软件 。 相 连接 的 系统 ,即使 它们 具有 
不 同 的 接口 ,但 通过 中 间 件 相互 之 间 仍 能 交换 信息 。 执 行 中 间 件 的 一 个 关键 途径 是 信息 传 
递 。 通 过 中 间 件 ,应 用 程序 可 以 工作 于 多 平台 或 操作 系统 (Operating System,OS) 环 境 。 

IPv6 是 英文 Internet Protocol Version 6 的 缩写 ,其 中 Internet Protocol 译 为 “互联 网 
协议 ”。IPv6 是 互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 设 计 的 用 于 替 
代 现 行 版 本 IP 协议 (IPv4) 的 下 一 代 IP 协议 。IPv6 这 不 但 解决 了 网 络 地 址 资源 数量 的 问 
题 , 同 时 也 为 除 电脑 以 外 的 海量 传感器 连 人 物 联 网 在 数量 限制 上 扫 清 了 障碍 。 

目前 , 物 联网 的 标准 化 工作 在 全 球 的 多 个 标准 化 组 织 竞相 展开 ,包括 国际 标准 化 组 织 
(如 ITU ISO 和 IEC)、 区 域 性 标准 化 组 织 ( 如 ETSI)、 国 家 标准 化 组 织 ( 如 CCSA、ATIS、 
TTA、TTOC) 行业 标准 化 组 织 、 论 坛 和 任务 组 (如 IETF IEEE.OMA) 等 ,这 些 标准 化 组 织 
各 自 沿 着 自己 擅长 的 领域 进行 研究 ,所 开发 的 标准 有 重 倒 也 有 分 工 , 但 他 们 之 间 的 竞争 大 于 
合作 , 尚 缺 乏 整体 的 协调 ,组 织 和 配合 。 

物 联 网 的 用 途 广泛 ,遍及 智能 交通 环境 保护 、 政 府 工作 、 公 共 安 全 平安 家 居 、 智 能 消 
防 、 工 业 监 测 、 环 境 监 测 、 路 灯 照 明 管 控 、 景 观照 明 管控 \、 楼 宇 照明 管控 ,广场 照明 管控 、 老 人 
护理 .个 人 健康 花卉 栽培 ,水 系 监测 、 食 品 渊源 .敌情 侦查 和 情报 搜集 等 多 个 领域 。 

在 本 章 的 最 后 ,还 简要 地 介绍 了 物 联 网 在 家 庭 、 医 学 .交通 、 物 流 、 安 防 . 电 网 等 方面 的 典 
型 应 用 。 

应 用 物 联网 技术 的 智能 家 居 ,依照 人 体 工程 学 原理 ,融合 个 性 需求 ,将 与 家 居 生 活 有 关 
的 各 个 子 系统 如 安防 、 照 明 控 制 、 窗 帘 控 制 、 煤 气 阀 控制 ,多 媒体 、 家 用 电器 、 地 板 采暖 等 有 机 

地 结合 在 一 起 ,通过 网 络 化 综合 智能 控制 和 管理 ,实现 “以 人 为 本 ”的 全 新 家 居 生 活体 验 。 

医学 物 联网 中 的 “ 物 ”, 就 是 各 种 与 医疗 服务 活动 相关 的 人 和 事物 ,如 健康 者 、 亚 健康 者 、 
病人 、 医 生 、 护 士 \ 医 疗 设备 ,身体 检测 仪器 药品 等 。 医 学 物 联网 中 的 “ 联 ”, 即 信息 交互 连 
接 , 把 上 述 “ 事 物 ” 产 生 的 相关 信息 交互 ,传输 和 共享 。 医 学 物 联 网 中 的 “网 ”是 通过 把 “ 物 ” 有 
机 地 连 成 一 张 “ 网 ”, 就 可 感知 医学 服务 对 象 、. 各 种 数据 的 交换 和 无 颖 连接 ,达到 对 医疗 卫生 
保健 服务 的 实时 动态 监控 ,连续 跟踪 管理 和 精准 的 医疗 健康 决策 。 

应 用 物 联网 技术 的 智能 交通 系统 ,利用 交通 信息 系统 .交通 监控 系统 .旅行 信息 系统 、 智 
能 旅游 系统 、 车 载 智能 信息 设备 等 ,提供 实时 的 交通 路 况 和 停车 信息 ,进行 智能 的 分 析 、 控 制 
与 引导 ,提高 出 行者 的 方便 和 舒适 度 。 

智慧 物流 是 利用 集成 智能 化 技术 ,使 物流 系统 能 模仿 人 的 智能 ,具有 思维 感知、 学 习 、 
推理 判断 和 自行 解决 物流 中 某 些 问 题 的 能 力 。 即 在 流通 过 程 中 获取 信息 从 而 分 析 信 息 做 出 
决策 ,使 商品 从 源头 开始 被 实施 跟踪 与 管理 ,实现 信息 流 快 于 实物 流 。 即 可 通过 RFID、 传 
感 器 、 移 动 通信 技术 等 让 配送 货物 自动 化 .信息 化 和 网 络 化 。 

物 联 网 技术 的 普及 应 用 ,使 得 城市 的 安防 从 过 去 简单 的 安全 防护 系统 向 城市 综合 化 体 
系 演变 ,城市 的 安防 项 目 涵盖 众多 的 领域 ,有 街道 社区 楼宇 建筑 .银行 邮局 .道路 监控 、 机 动 
车 辆 、 警 务 人 员 ,移动 物体 、 船 只 等 。 特 别 是 针对 重要 场所 ,例如 : 机 场 、 码 头 、 水 电气 厂 、 桥 
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梁 大 坝 、 河 道 、 地 铁 等 场所 ,引入 物 联 网 技术 后 可 以 通过 无 线 移动 、 跟 踪 定 位 等 手段 建立 全 方 
位 的 立体 防护 。 

智能 电网 建立 在 集成 的 、 高 速 的 、 双 向 的 通信 和 网络 基础 上 ,通过 先进 的 传 感 和 测量 技术 、 
先进 的 设备 技术 ,先进 的 控制 方法 以 及 先进 的 决策 支持 系统 技术 的 应 用 ,实现 电网 的 可 靠 、 
安全 ,经 济 、 高 效 、 环 境 友 好 和 使 用 安全 的 目标 ,其 主要 特征 包括 自 愈 、 激 励 用 户 、 抵 御 攻 击 、 
提供 满足 用 户 需 求 的 电能 质量 、 容 许 各 种 不 同 发 电 形式 的 接 入 、 启 动 电力 市 场 以 及 资源 的 优 
化 高 效 运行 。 


像 习 思考 是 


. 请 简 述 物 联网 的 起 源 和 发 展 。 

. 请 简 述 物 联网 的 定义 。 

. 请 指出 物 联网 的 四 个 特征 。 

. 请 画图 表示 物 联网 的 体系 结构 ,并 分 别 说 明 每 一 层 实现 的 功能 。 
。 什么 是 RFID 技术 ? 

. 什么 是 无 线 传感器 网 络 技术 ? 

.什么 是 M2M 技术 ? 

. 什么 是 Wi-Fi 技术 ? 

. 什么 是 WiMAX 技术 ? 

.什么 是 ZigBee 技术 ? 

. 什么 是 蓝牙 技术 ? 

12. 什么 是 GPS 全 球 定位 技术 ? 

13. 什么 是 云 计 算 技 术 ? 云 计 算 的 主要 特点 是 什么 ? 
14. 什么 是 数据 挖掘 技术 ? 

15. 什么 是 中 间 件 技术 ? 

16. 什么 是 IPv6 技术 ? 

17. 物 联 网 的 总 体 标准 主要 包括 哪些 组 成 部 分 ? 
18. 请 简要 介绍 物 联网 的 国际 标准 。 

19. 请 简要 介绍 物 联网 的 中 国标 准 。 

20. 请 说 明 物 联网 在 家 庭 方 面 的 典型 应 用 。 

21. 请 说 明 物 联网 在 医学 方面 的 典型 应 用 。 

22. 请 说 明 物 联网 在 交通 方面 的 典型 应 用 。 

23. 请 说 明 物 联 网 在 物流 方面 的 典型 应 用 。 

24. 请 说 明 物 联网 在 安防 方面 的 典型 应 用 。 

25. 请 说 明 物 联 网 在 电网 方面 的 典型 应 用 。 
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物 联网 安全 概述 


@.1 物 联 网 的 安全 特征 


物 联网 安全 是 指 物 联网 系统 可 以 连续 地 、 可 靠 地 和 正常 地 运行 ,服务 不 会 中 断 , 物 联网 
系统 中 的 软件 ,硬件 和 系统 中 的 数据 受到 保护 ,不 受 人 为 的 恶意 攻击 、 破 坏 和 更 改 。 

感知 信息 的 多 样 性 、 网 络 环境 的 复杂 性 和 应 用 需求 的 多 样 性 ,使 物 联网 安全 面临 新 的 严 
峻 的 考验 。 信 息 和 网 络 安全 的 目标 是 保证 被 保护 信息 的 机 密 性 、 完 整 性 和 可 利用 性 。 物 联 
网 以 数据 为 中 心 并 且 与 应 用 密切 相关 ,这 一 特征 决定 了 物 联网 总 体 安全 目标 要 达到 机 密 性 ， 
避免 攻击 者 读 取 机 密 信息 ; 物 联 网 系统 应 具有 数据 鉴别 能 力 , 避 免 结 点 被 注入 虚假 信息 ; 
物 联网 系统 应 具有 设备 鉴别 能 力 ,避免 非 法 设备 接 入 物 联 网 ; 物 联网 系统 应 保证 数据 完整 
性 , 校 验 数据 是 否 被 修改 ; 物 联网 系统 还 应 具有 可 用 性 ,保证 系统 的 网 络 服务 无 论 在 任何 时 
间 都 可 以 提供 给 合法 的 用 户 。 


2.1.1 传统 网 络 面临 的 安全 威胁 


物 联网 是 基于 互联 网 技术 将 设备 连接 起 来 的 一 个 综合 性 网 络 ,因此 ,互联 网 技术 是 物 联 
网 的 基础 ,互联 网 的 安全 直接 关系 到 整个 物 联网 的 安全 。 互 联网 安全 问题 涉及 网 络 设备 基 
础 安全 、 网 络 安全 .Web 安全 和 基于 Web 应 用 的 安全 等 各 个 方面 ,包括 安全 编码 、 数 据 帧 安 
全 和 密 钥 管理 与 交换 等 。 


1. 安全 编码 


由 于 任意 一 个 标签 的 标识 或 识别 码 都 能 被 远程 主机 任意 地 扫描 ,标签 可 能 会 自动 地 ,不 
加 区 分 地 回复 读 写 器 的 指令 ,并 且 将 其 所 存储 的 信息 传输 给 读 写 器 ,因此 编码 的 安全 性 必须 
引起 重视 。 


2. 数据 帧 安全 


由 于 在 互联 网 信息 传输 环境 中 ,攻击 者 可 能 会 窃听 和 截取 数据 帧 的 内 容 , 获 取 相 关 的 信 
息 ,并 为 进一步 攻击 做 准备 ,因此 ,必须 重视 数据 帧 的 安全 。 


3. 密 钥 管理 与 交换 
在 互联 网 中 实施 的 机 密 性 和 完整 性 措施 ,关键 在 于 密 钥 的 建立 和 管理 过 程 ,由 于 物 联网 
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中 结 点 的 计算 能 力 和 电源 供给 能 力 等 都 有 限 ,因此 传统 的 密 钥 管理 方式 不 适用 于 物 联网 。 


2.1.2 物 联 网 面临 的 安全 威胁 


根据 物 联网 本 身 的 特点 , 物 联网 除了 面临 传统 网 络 的 安全 问题 以 外 ,还 存在 一 些 与 现 有 
的 互联 网 安全 不 一 样 的 特殊 安全 问题 。 这 是 因为 物 联网 是 由 大 量 的 传感器 等 设备 构成 的 ， 
缺少 人 对 设备 的 有 效 监控 ,并 且 物 联网 设备 种 类 繁多 数量 庞大 ,所 以 物 联网 还 面临 其 特有 
的 安全 威胁 。 


1. 点 到 点 消息 认证 


由 于 物 联 网 的 应 用 可 以 取代 人 来 完成 一 些 复杂 、 危 险 和 机 械 的 工作 , 物 联 网 传感器 和 设 
备 往往 部 署 在 无 人 监控 的 场景 中 ,因此 攻击 者 可 以 轻易 接近 这 些 设备 ,从 而 对 它们 进行 破 
坏 , 甚 至 通过 本 地 操作 更 换 机 器 的 软 硬 件 ,使 得 物 联网 中 有 可 能 存在 大 量 的 恶意 结 点 和 已 经 
损坏 的 结 点 。 


2. 重 放 攻 击 


在 物 联网 的 标签 体系 中 ,如 果 系统 无 法 区 分 信息 是 否 曾经 传递 给 读 写 器 ,攻击 者 可 以 冒 
充 合 法 者 的 身份 , 重 放 截 获 信 息 , 从 而 获得 相应 的 服务 。 


3. 拒绝 服务 攻击 


一 方面 物 联网 以 域名 服务 (Domain Name Service, DNS) 技 术 为 基础 ,同样 也 继承 了 
DNS 技术 的 安全 隐患 ; 另 一 方面 由 于 物 联网 中 结 点 数量 庞大 . 且 以 集群 方式 布置 ,因此 在 
传输 数据 时 ,由 于 大 量 机 器 的 数据 发 送 会 引起 网 络 拥塞 ,形成 拒绝 服务 攻击 。 另 外 ,攻击 者 
广播 Hello 信息 ,或 者 利用 通信 机 制 中 的 优先 级 策略 .虚假 路 由 等 协议 的 安全 漏洞 ,同样 可 
以 发 起 拒绝 服务 攻击 。 


4. 算 改 或 泄漏 标签 数据 


攻击 者 一 方面 可 以 破坏 标签 数据 ,使 得 物品 服务 不 可 正常 使 用 ; 男 一 方面 可 能 会 窃取 
标签 数据 ,获得 相关 的 服务 ,为 进一步 攻击 做 准备 。 

5. 权限 提升 攻击 

攻击 者 通过 协议 漏洞 或 物 联网 的 其 他 脆弱 环节 ,使 得 物品 服务 获得 高 级 别 服务 ,甚至 可 
以 控制 物 联网 其 他 结 点 的 运行 。 

6. 业务 安全 

传统 的 认证 是 区 分 不 同 层次 的 ,例如 网 络 层 的 认证 负责 网 络 层 的 身份 鉴别 ,业务 层 的 认 
证 负责 业务 层 的 身份 鉴别 ,两 者 独立 存在 。 然 而 在 物 联网 体系 中 ,在 多 数 的 情况 下 ,设备 都 
有 专门 的 用 途 , 其 业务 应 用 与 网 络 通信 紧密 地 捆绑 在 一 起 。 由 于 网 络 层 的 认证 是 必 不 可 少 
的 ,因此 业务 层 的 认证 机 制 就 不 再 是 必需 的 ,而 是 根据 业务 由 谁 来 提供 和 业务 的 敏感 程序 来 
设计 。 
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7. 隐私 安全 


在 物 联网 系统 中 ,每 一 个 人 包括 其 拥有 的 每 一 个 物品 都 将 随时 随地 连接 到 网 络 上 ,随时 
随地 被 感知 ,在 这 样 的 网 络 环境 中 ,如 何 确保 信息 的 安全 性 和 隐私 性 ,防止 个 人 信息 、 业 务 信 
息 和 物品 丢失 或 被 他 人 盗用 ,将 是 物 联网 发 展 过 程 中 需要 解决 的 技术 难题 之 一 。 


2.1.3 物 联 网 的 安全 特征 


物 联网 除了 面临 传统 网 络 安全 威胁 以 外 ,还 具有 一 些 特殊 的 安全 问题 。 从 物 联 网 的 信 
息 处 理 过 程 来 分 析 ,感知 信息 经 过 采集 汇聚、 融合、 传输 ,决策 和 控制 等 过 程 , 整 个 信息 处 理 
的 过 程 ,体现 了 物 联网 安全 的 特征 和 要 求 , 因 此 , 物 联网 安全 与 传统 网 络 安全 相 比 较 , 两 者 之 
间 存 在 着 较 大 的 差别 。 物 联网 的 安全 特征 如 图 2-1 所 示 。 


设备 、 结 点 无 人 看 管 
容易 受到 物理 操纵 


a 信息 传输 主要 篆 无 线 
tb 物 联网 的 安全 特征 通信 方式 ， 信 号 容易 
ns 被 窃取 和 干扰 


物 联 网 中 物品 的 信息 基于 低 成 本 的 设计 


能 够 被 自动 获取 和 传送 传 感 


图 2-1 物 联 网 的 安全 特征 


1. 设备 、 结 点 无 人 看 管 ,容易 受到 物理 操纵 


物 联 网 常用 来 替代 人 完成 一 些 复杂 、 危 险 和 机 械 的 工作 。 在 这 种 工作 环境 下 , 物 联网 中 
的 设备 、 结 点 都 是 无 人 看 管 的 。 因 此 ,攻击 者 很 容易 就 能 接触 到 这 些 设备 ,从 而 对 设备 或 者 
嵌入 其 中 的 传感器 结 点 进行 破坏 。 攻 击 者 甚至 可 以 通过 更 换 设备 的 软 硬 件 ,对 物 联 网 进行 
非法 操控 。 例 如 ,在 远 距离 电力 输送 过 程 中 .供电 企业 可 以 使 用 物 联 网 来 远程 操控 一 些 供电 
设备 。 由 于 缺乏 看 管 ,攻击 者 有 可 能 使 用 非法 装置 来 干扰 这 些 设备 上 的 传感器 。 假 如 供电 
设备 的 某 些 重要 工作 参数 被 自 改 ,其 后 果 不 堪 设 想 。 


2. 信息 传输 主要 靠 无 线 通信 方式 .信号 容易 被 窃取 和 干扰 


物 联网 在 信息 传输 中 一 般 采 用 无 线 传输 方式 ,暴露 在 空中 的 无 线 电信 号 很 容易 成 为 攻 
击 者 窃取 和 干扰 的 对 象 ,这 会 对 物 联网 的 信息 安全 产生 严重 的 威胁 。 例 如 ,目前 的 第 二 代 身 
份 证 都 嵌入 了 RFID 标签 ,在 使 用 过 程 中 ,攻击 者 可 以 通过 窃取 感知 结 点 发 射 的 信号 来 获取 
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所 需要 的 信息 ,甚至 是 用 户 的 隐私 信息 ,并 据 此 来 伪造 身份 ,其 后 果 非 常 严 重 。 又 如 ,攻击 者 
可 以 在 物 联网 无 线 电 信号 覆盖 的 区 域内 ,通过 发 射 无 线 电 信号 来 进行 干扰 ,从 而 使 无 线 通信 
网 络 不 能 正常 工作 ,甚至 瘫痪。 再 如 ,在 物流 运输 过 程 中 ,嵌入 物品 中 的 标签 或 读 写 设备 的 
信号 受到 恶意 干扰 时 ,很 容易 造成 一 些 物品 的 丢失 。 


3. 基于 低 成 本 的 设计 ,传感器 结 点 通常 资源 受 限 


在 物 联 网 的 实际 应 用 中 ,通常 需要 部 署 大 量 的 传感器 ,以 充分 覆盖 特定 区 域 。 对 于 已 经 
部 署 的 传感器 ,一般 都 不 会 进行 回收 或 维护 。 因 为 具有 数量 多 和 一 次 性 的 特点 ,所 以 传感器 
必须 具有 较 低 的 成 本 ,只 有 这 样 , 大 规模 使 用 才 可 行 。 为 了 降低 成 本 ,传感器 通常 是 资源 受 
限 的 。 传 感 器 一 般 体 积 较 小 ,而 且 其 能 量 ,处 理 能 力 、 存 储 空 间 、 传 输 距 离 , 无 线 电 信号 频率 
和 带宽 等 都 是 受 限 的 。 由 于 以 上 各 种 原因 ,传感器 结 点 无 法 使 用 比较 复杂 的 安全 协议 ,因此 
传感器 设备 或 结 点 无 法 拥有 较 强 的 安全 保护 能 力 。 攻 击 者 针对 传感器 的 这 一 弱点 ,可 以 采 
用 连续 通信 的 方式 来 使 结 点 的 能 量 耗 尽 。 


4. 物 联 网 中 物品 的 信息 能 够 被 自动 地 获取 和 传送 


物品 的 感知 是 物 联网 应 用 的 前 提 。 物 品 与 互联 网 相连 接 后 ,通过 射频 识别 (RFID)、 传 
感 器 .二 维 识别 码 和 GPS 全 球 卫星 定位 等 技术 能 够 随时 随地 且 自 动 地 获取 物品 的 信息 。 因 
此 ,人 们 随时 随地 都 可 以 获取 物品 的 准确 位 置 和 周围 环境 等 相关 信息 。 在 物 联网 的 应 用 中 ， 
RFID 标签 可 以 被 嵌入 到 任何 物品 中 。 一 旦 REFID 标签 被 嵌入 到 人 们 的 生活 用 品 中 ,例如 髓 
入 到 帽子 或 衣服 中 ,而 使 用 者 并 没有 察觉 的 话 , 那 么 物品 的 使 用 者 将 会 被 定位 和 跟踪 ,这 无 
疑 会 对 个 人 的 隐私 构成 极 大 的 威胁 。 


5. 物 联网 在 原 有 的 互联 网 基础 上 进行 了 延伸 和 扩展 


物 联 网 是 在 互联 网 基础 上 的 延伸 和 扩展 。 与 互联 网 相 比较 , 物 联 网 覆盖 的 范围 更 加 广 
泛 ,包括 了 无 处 不 在 的 数据 感知 以 无 线 电信 号 为 主 的 信息 传输 .智能 化 的 信息 处 理 和 广泛 
的 应 用 ,用 户 端 可 以 延伸 和 扩展 到 任何 物品 与 物品 之 间 ,进行 信息 的 交换 和 通信 。 这 样 ,使 
物 联网 安全 的 设计 、 部 署 和 管理 变 得 更 为 困难 。 


C3 物 联网 安全 体系 结构 


物 联 网 安全 的 总 体 需求 是 物理 安全 信息 采集 安全 信息 传输 安全 和 信息 处 理 安全 的 综 
合 , 物 联网 安全 的 最 终 目标 是 确保 信息 的 机 密 性 、 完 整 性 、 真 实 性 和 网 络 的 容错 性 。 

结合 物 联 网 的 分 布 式 连接 和 管理 (Device Connect Manage, DCM) 模 式 ,可 以 得 出 物 联 
网 的 安全 体系 结构 ,如 图 2-2 所 示 。 

正如 本 书 的 第 1 章 所 述 , 物 联网 的 四 个 基本 特征 是 : 全 面 感知 、 可 靠 传 输 、 智 能 处 理 和 
综合 应 用 。 

虽然 人 们 对 物 联 网 的 概念 有 多 种 不 同 的 描述 ,但 其 内 涵 基 本 相同 。 因 此 ,在 分 析 物 联网 
的 安全 性 时 ,也 相应 地 将 其 分 为 三 个 层次 , 即 感知 层 安 全 、 网 络 层 安 全 和 应 用 层 安 全 。 在 物 
联网 的 综合 应 用 方面 ,应 用 层 是 对 智能 处 理 后 的 信息 的 利用 。 尽 管 在 某 些 物 联网 安全 框架 
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图 2-2 物 联 网 安全 的 体系 结构 


中 ,将 信息 处 理 安全 与 信息 应 用 安全 分 开 进 行 分 析 , 但 是 从 物 联网 系统 的 整体 信息 安全 角度 
来 考虑 ,将 这 两 者 的 安全 问题 统一 到 应 用 层 ,更 容易 建立 物 联网 安全 体系 结构 。 


6E3 感知 层 安全 分 析 


物 联 网 感知 层 的 任务 是 实现 智能 感知 外 界 信息 功能 。 感 知 层 也 可 以 称 为 原始 信息 收集 
层 , 包 括 信息 采集 .捕获 和 物体 识别 。 该 层 的 典型 设备 包括 射频 识别 (Radio Frequency 
Identification,RFID) 装 置 . 各 类 传感器 (如 红外 声音 .温度 .湿度 .速度 等 ) 图像 捕 捉 装 置 
(摄像 头 ) ,全 球 定位 系统 (GPS) ,激光 扫描 仪 . 环 境 检测 仪 和 地 震 监测 仪 等 。 这 些 设备 所 收 
集 的 信息 一 般 都 具有 明确 的 目的 ,所 以 在 传统 观念 中 这 些 信息 直接 被 处 理 并 进行 应 用 。 例 

公路 边 的 摄像 头 捕 提 的 视频 信息 直接 用 于 交通 监控 。 然 而 ,在 物 联网 的 应 用 中 ,多 种 类 
型 的 感知 信息 可 能 会 同时 处 理 ,综合 应 用 ,甚至 不 同感 应 信息 的 结果 会 反馈 给 控制 方 ,产生 
控制 和 调节 行为 。 例 如 ,湿度 传感器 收集 到 的 湿度 信息 ,可 能 会 导致 温度 或 光照 程度 的 调 
节 。 同 时 , 物 联 网 应 用 强调 的 是 信息 共享 ,这 是 物 联网 区 别 于 传 感 网 的 最 大 特点 之 一 。 又 
如 ,交通 监控 的 录像 信息 可 能 同时 被 用 于 公安 侦破 ,城市 规划 环境 监测 等 领域 。 因 此 ,由 什 
么 部 门 来 统一 处 理 这 些 信息 的 问题 将 直接 影响 到 应 用 的 有 效 性 。 为 了 使 这 些 信息 能 够 被 不 
同 的 应 用 领域 共同 分 享 并 有 效 使 用 ,应 该 有 一 个 综合 的 物 联网 信息 处 理 平台 ,这 就 是 物 联 网 
的 云 计 算 平台 。 物 联网 感知 的 所 有 信息 ,都 需要 传输 到 这 个 统一 的 信息 处 理 平台 。 

物 联 网 的 安全 状况 ,主要 体现 在 其 体系 结构 的 各 个 要 素 中 。 首 先 , 是 物 联网 的 物理 安 
全 ,这 主要 是 各 类 传感器 的 安全 ,包括 防范 对 传感器 的 干扰 、 屏 项 、 电 磁 汇 漏 攻击 ,信道 攻击 
等 ; 其 次 ,是 物 联 网 的 运行 安全 ,主要 包括 各 个 计算 模块 ,如 组 入 式 计 算 模块 .服务 器 的 计算 
中 心 等 ,包括 密码 算法 的 实现 、 密 钥 管 理 ( 软 件 或 硬件 所 存储 的 密 钥 ) 、 数 据 接口 和 通信 接口 
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管理 等 ,涉及 传感器 结 点 .数据 汇聚 结 点 和 数据 处 理 中 心 ; 第 三 ,是 物 联网 的 通信 安全 , 即 数 
据 在 传输 过 程 中 的 安全 保护 ,确保 数据 在 传输 过 程 中 不 会 被 非法 窃取 、 算 改 和 伪造 。 

根据 物 联网 感知 层 安全 所 涵盖 的 内 容 , 可 以 把 物 联网 的 感知 层 分 为 两 大 类 , 即 RFID 系 
统 和 无 线 传感器 网 络 。 以 下 分 别 对 这 两 类 网 络 的 安全 技术 进行 分 析 。 


2.3.1 RFID 系统 安全 分 析 


1. RFID 系统 在 安全 防护 方面 的 优势 


RFID 射频 识别 是 一 种 电子 身份 识别 ,其 性 质 相当 于 条 形 码 或 二 维 码 , 但 是 它 的 功能 却 
比 条 形 码 和 二 维 码 更 强大 。RFID 不 仅 提供 电子 身份 标识 ,而 且 还 具有 少量 的 计算 处 理 能 
力 , 因 此 ,在 安全 防护 方面 ,RFID 系统 有 着 条 形 码 和 二 维 码 不 可 比拟 的 优势 。 

RFID 系统 一 般 包 括 一 个 或 多 个 RFID 电子 标签 ,一 个 或 多 个 读 写 器 和 一 个 后 台数 据 
库 。 读 写 器 通过 与 后 台数 据 库 的 交互 ,判断 标签 所 提供 的 数据 是 否 真 实 ,RFID 标签 也 可 以 
通过 一 些 安全 机 制 识 别 试图 读 取 数据 的 读 写 器 是 否 合法 。RFID 标签 与 读 写 器 之 间 的 通信 
距离 很 短 。 尤 其 是 无 源 标签 ,通常 与 读 写 器 之 间 的 通信 距离 只 有 几 十 厘米 。 而 有 源 标 签 与 
读 写 器 之 间 的 通信 距离 ,通常 也 仅仅 在 几 十 米 之 内 ,而 且 在 很 短 的 时 间 内 就 可 以 完成 数据 
通信 。 

2. RFID 系统 面临 的 安全 问题 


RFID 系统 与 无 线 传感器 网 络 有 着 本 质 的 区 别 。 无 线 传感器 网 络 传输 的 是 采集 得 到 的 
环境 信息 ,当然 也 包括 传感器 自己 的 身份 信息 ,而 RFID 标签 仅仅 传输 一 个 身份 标识 信息 。 
从 表面 上 看 ,似乎 RFID 系统 的 工作 机 制 要 简单 得 多 ,然而 实际 的 情况 却 并 非 如 此 。 原 因 是 
RFID 系统 面临 以 下 的 安全 问题 : 

1) 非法 复制 

对 于 条 形 码 或 者 二 维 码 ,非法 复制 是 非常 容易 实现 的 ; 对 于 RFID 系统 ,同样 也 会 面 对 
非法 复制 的 问题 ,但 是 RFID 系统 应 有 能 力 对 抗 非法 复制 。 

2) 非法 跟踪 

非法 读 写 器 可 能 试图 对 合法 的 RFID 标签 进行 访问 ,试图 获得 合法 RFID 标签 的 身份 
标识 ,从 而 可 以 判断 该 标签 是 否 与 在 其 他 地 方 读 取 的 RFID 身份 信息 属于 同一 个 标签 。 这 
种 攻击 的 目的 在 于 对 某 些 标 签 实施 跟踪 。 

3) 限 距离 攻击 

攻击 者 同时 使 用 一 对 非法 的 RFID 标签 和 读 写 器 来 实施 攻击 。 首 先 使 用 非法 的 读 写 器 
接近 一 个 合法 的 RFID 标签 ,然后 将 该 合法 标签 的 数据 传 给 远方 的 非法 标签 ,该 非法 标签 试 
图 去 接近 一 个 合法 的 读 写 器 ,接着 将 非法 读 写 器 传 来 的 信息 发 送 给 合法 读 写 器 ,并 将 该 合法 
读 写 器 返回 的 任何 信息 传 给 远方 的 非法 读 写 器 ,然后 非法 读 写 器 返回 给 它 接近 的 合法 标签 。 
通过 这 种 攻击 方式 ,将 远 处 的 非法 标签 与 合法 的 读 写 器 连接 起 来 ,似乎 那个 合法 的 标签 在 跟 
这 个 合法 的 读 写 器 交互 ,从 而 试图 通过 认证 。 这 种 攻击 行为 是 近年 来 提出 的 ,其 目的 是 通过 
RFID 标签 非法 进入 物 联网 系统 。 

RFID 标签 的 主要 用 途 是 识别 某 个 账户 或 者 某 个 物品 ,并 且 能 够 在 数据 库 中 记录 该 账 
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户 或 该 物品 的 相关 信息 。 非 法 复制 是 攻击 者 希望 实现 的 ,通过 信息 加 密 技 术 和 物理 保护 措 
施 ,可 以 有 效 防止 非法 复制 ,起 码 可 以 使 得 非法 复制 的 成 本 大 大 提高 ; 即使 不 能 非法 复制 ， 
非法 追踪 RFID 标签 也 是 一 种 重要 的 攻击 手段 。 因 此 ,隐私 保护 是 RFID 系统 安全 的 重要 
部 分 。 此 外 ,近年 来 提出 的 限 距离 攻击 也 对 RFID 系统 安全 提出 了 新 的 挑战 。 


3. RFID 系统 安全 技术 


针对 以 上 所 描述 的 RFID 系统 的 安全 问题 ,其 安全 技术 可 以 归纳 为 以 下 几 点 : 

1) 信息 加 密 技 术 

通过 信息 加 密 技 术 ,将 RFID 标签 的 机 密 信息 存储 在 一 个 抗 破解 的 硬件 区 域 ,可 以 有 效 
地 防止 标签 复制 。 同 时 ,RFID 标签 与 读 写 器 之 间 的 信息 交互 过 程 也 需要 精心 设计 ,和 否则 在 
这 些 信息 交互 的 过 程 中 ,有 可 能 出 现 信息 泄露 。 

2) 身份 隐私 保护 技术 

通过 加 密 措 施 ,使 标签 提供 给 读 写 器 的 标识 数据 每 次 都 产生 变化 ,掌握 机 密 信息 的 数据 
库 可 以 识别 该 标签 ,但 是 作为 非法 截获 数据 的 攻击 者 则 无 法 识别 这 些 不 同 的 身份 标识 之 间 
是 否 有 关联 ,这 样 就 可 以 避免 标签 被 非法 读 写 器 识别 ,从 而 提供 隐私 保护 机 制 。 

3) 抗 限 距离 攻击 技术 

近年 来 ,研究 者 们 针对 限 距 离 攻 击 技术 提出 了 许多 解决 方案 ,但 是 这 些 方案 需要 经 过 比 
较 长 时 间 的 实践 考验 ,才能 确认 是 否 可 行 , 因 此 针对 这 种 攻击 行为 的 研究 尚 停留 在 实验 室 
阶段 。 


2.3.2 无 线 传感器 网 络 安全 分 析 


当 感 知 信息 从 传感器 采集 以 后 但 尚未 传输 到 网 络 层 之 前 ,可 以 把 传 感 网 本 身 ( 由 各 种 传 
感 器 构成 的 网 络 ) 看 作 感 知 的 部 分 。 感 知 信息 的 传输 要 通过 一 个 或 多 个 与 外 部 网 络 相连 接 
的 传 感 结 点 ,这 些 结 点 称 为 网 关 结 点 (gateway) 或 汇聚 结 点 (sink)。 所 有 与 传 感 网 内 部 结 点 
的 通信 ,都 需要 经 过 网 关 结 点 与 外 部 网 络 联系 。 因 此 ,在 物 联网 的 感知 层 , 我 们 仅仅 需要 分 
析 传 感 网 络 本 身 的 安全 性 即 可 。 


1. 无 线 传感器 网 络 面临 的 安全 威胁 


具有 代表 性 的 传 感 网 是 无 线 传感器 网 络 ,解决 传 感 网 安全 的 目标 也 应 针对 无 线 传感器 
网 络 ,因为 适合 无 线 传感器 网 络 的 安全 技术 对 有 线 传 感 网 同样 适合 。 以 下 分 别 对 无 线 传 感 
器 网 络 面临 的 常见 的 安全 威胁 进行 分 析 。 

1) 遭受 非法 用 户 的 入侵 

无 线 传感器 网 络 最 容易 遭受 的 是 非法 用 户 的 入侵 ,即使 人 侵 失 败 , 敌 方 反复 地 尝试 人 侵 
的 过 程 , 也 可 以 造成 对 传感器 结 点 的 拒绝 服务 攻击 。 造 成 拒绝 服务 攻击 的 原因 是 无 线 传 感 
器 终端 结 点 的 资源 有 限 ,特别 是 采用 电池 供电 的 传感器 结 点 ,在 不 断 对 攻击 者 进行 认证 的 过 
程 中 将 会 产生 大 量 额外 的 功 耗 , 从 而 造成 电能 耗 尽 。 另 外 ,在 接收 入 侵 请 求 的 过 程 中 ,也 可 
能 造成 自身 计算 超 负 荷 而 导致 拒绝 服务 攻击 。 对 汇聚 结 点 而 言 , 通 常 在 能 耗 上 没有 太 多 的 
限制 , 绝 大 多 数 汇聚 结 点 都 可 以 保证 电能 的 供应 。 但 是 ,由 于 汇聚 结 点 的 设计 是 服务 于 少数 
传感器 结 点 的 ,并 且 每 一 个 传感器 结 点 与 汇聚 结 点 之 间 的 通信 量 一 般 都 有 限 ,因此 汇聚 结 点 
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应 对 拒绝 服务 攻击 的 能 力 很 弱 , 在 拒绝 服务 攻击 下 也 很 容易 导致 计算 资源 耗 尽 。 有 时 候 , 造 
成 拒绝 服务 攻击 后 果 的 不 一 定 是 拒绝 服务 攻击 ,也 可 能 是 入 侵 尝 试 过 程 造成 的 拒绝 服务 攻 
击 。 当 无 线 传感器 网 络 被 接 人 互联 网 ,成 为 物 联网 系统 的 一 部 分 时 ,受到 拒绝 服务 攻击 的 机 
会 将 会 大 大 增加 。 因 此 ,感知 层 能 否 抵抗 拒绝 服务 攻击 ,应 作为 一 个 健康 的 物 联 网 系统 的 重 
要 指标 ,这 也 是 物 联网 安全 面临 的 重要 挑战 。 

2) 被 敌 方 非 法 捕获 

由 于 无 线 传感器 网 络 所 处 的 环境 一 般 都 具有 公开 性 ,因此 容易 被 敌 方 非法 捕获 。 最 容 
易 被 捕获 的 是 传 感 结 点 发 出 的 信号 ,这 不 需要 知道 它们 的 预 置 密码 和 通信 密码 ,只 需要 鉴别 
传 感 结 点 的 种 类 即 可 。 例 如 ,检查 传 感 结 点 是 用 于 检测 温度 还 是 用 于 检测 噪声 等 。 有 时 候 
这 种 分 析 对 敌 方 也 是 很 有 用 的 。 因 此 ,安全 的 传 感 网 络 应 该 有 保护 其 工作 类 型 的 安全 机 制 。 

3) 被 敌 方 剖析 密 钥 

敌 方 不 仅 可 以 捕获 无 线 传感器 数据 ,而 且 可 以 捕获 无 线 传感器 网 络 的 物理 实体 ,然后 进 
行 离线 分 析 , 例 如 将 数据 带 回 实 验 室 进行 深入 解剖 ,这样 就 有 可 能 得 到 传感器 所 用 的 密 钥 信 
息 , 从 而 可 以 恢复 该 传感器 之 前 的 所 有 通信 数据 ,甚至 可 能 非法 复制 传感器 ,加 入 到 传 感 网 
上 发 送 虚 假 数 据 。 

4) 对 汇聚 结 点 的 攻击 

敌 方 对 无 线 传感器 网 络 更 为 严重 的 攻击 是 对 汇聚 结 点 的 攻击 。 如 果 敌 方 能 够 控制 汇聚 
结 点 , 则 不 仅 能 得 到 所 有 该 汇聚 结 点 所 服务 的 传 感 结 点 上 传 的 所 有 数据 ,而 且 可 以 任意 制造 
虚假 的 数据 ,甚至 可 以 蒙骗 数据 处 理 中 心 和 感知 终端 。 敌 方 对 汇聚 结 点 的 安全 性 分 析 , 不 一 
定 需要 到 实验 室 进行 硬件 解剖 ,更 多 的 是 根据 传 感 网 所 使 用 的 认证 安全 技术 ,通过 协议 漏洞 
和 其 他 方面 可 能 的 漏洞 分 析 ,找到 成 功 入 侵 的 机 会 ,一 旦 人 侵 成 功 ,就 可 以 对 汇聚 结 点 实施 
所 有 可 能 的 攻击 ,例如 解密 数据 ,捏造 数据 等 ,并 有 可 能 导致 服务 器 端的 故障 。 


2. 无 线 传感器 网 络 的 安全 技术 


针对 以 上 所 描述 的 安全 威胁 ,无 线 传感器 网 络 的 安全 技术 可 以 归纳 为 以 下 几 点 : 

1) 结 点 认证 

结 点 认证 包括 传感器 结 点 与 传感器 结 点 之 间 、 传 感 器 结 点 与 汇聚 结 点 之 间 的 单 向 和 双 
向 认证 ,确保 信息 的 来 源 和 去 向 正确 ,以 防 假冒 攻击 。 

2) 消息 机 密 性 

所 谓 消 息 的 机 密 性 是 保护 数据 不 被 非法 截获 者 获知 。 在 实施 过 程 中 ,需要 考虑 密 钥 管 
理 问 题 。 在 传 感 网 络 使 用 公 钥 系统 是 不 容易 实现 的 .因为 公 钥 系统 所 消耗 的 计算 资源 太 多 ， 
而 且 公 钥 基础 设施 在 传 感 网 中 无 法 运转 起 来 。 假 如 使 用 对 称 密 钥 ,无 论 是 给 每 一 个 传 感 结 
点 赋予 一 个 单独 的 密 钥 ,还 是 让 一 个 传 感 网 内 的 所 有 结 点 共享 一 个 预 置 密 钥 ,都 是 现实 中 需 
要 考虑 的 问题 。 

3) 数据 完整 性 

数据 的 完整 性 是 保护 传输 的 数据 不 被 非法 修改 ,同时 有 效 地 拒绝 敌 方 制造 的 假 信息 。 

4) 数据 新 鲜 性 

如 果 说 在 互联 网 中 数据 的 新 鲜 性 保障 不 是 很 强 的 话 ,在 传 感 网 络 中 则 需要 保障 数据 的 
新 鲜 性 。 一 方面 ,传感器 结 点 上 传 的 数据 具有 很 高 的 时 效 性 甚至 实时 性 ; 另 一 方面 ,从 数据 
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中 心 传 给 传感器 结 点 的 消息 通常 都 是 重要 的 控制 指令 ,如果 仅仅 保证 机 密 性 和 完整 性 ,并 不 
能 完全 满足 要 求 。 因 为 简单 的 重 放 攻击 可 以 通过 消息 机 密 性 和 数据 完整 性 验证 ,从 而 可 能 
会 造成 很 大 的 问题 ,例如 控制 开关 的 开启 或 者 关闭 指令 的 重 放 , 就 有 可 能 导致 非常 严重 的 
后 果 。 

5) 安全 路 由 

安全 路 由 在 一 些 传 感 网 络 中 非常 重要 ,但 并 不 是 所 有 的 传 感 网 络 都 需要 安全 路 由 。 许 
多 物 联网 行业 中 使 用 的 传 感 网 络 根本 就 不 需要 路 由 ,传感器 结 点 可 以 直接 将 感知 数据 传送 
给 汇聚 结 点 。 

6) 密 钥 管理 

尽管 传 感 网 络 大 多 使 用 对 称 密 钥 技术 ,但 是 在 资源 有 限 的 环境 中 ,对 密 钥 的 有 效 和 安全 
管理 同样 具有 技术 挑战 性 。 如 果 在 汇聚 结 点 和 传感器 结 点 使 用 同一 个 密 钥 ,虽然 有 利于 物 
联网 系统 的 搭建 ,但 是 只 要 敌 方 控制 传 感 网 络 中 的 一 个 传感器 结 点 , 则 整个 传 感 网 将 不 再 具 
有 安全 性 ; 如 果 在 每 个 传感器 结 点 使 用 一 个 不 同 的 密 钥 , 则 增加 了 汇聚 结 点 的 计算 工作 量 ， 
汇聚 结 点 需要 管理 所 有 结 点 对 应 的 密 钥 。 此 外 ,汇聚 结 点 也 处 于 相对 公开 的 环境 ,容易 遭受 
入 侵 甚至 物理 攻击 ,因此 ,这些 与 传感器 结 点 共享 的 密 钥 ,无 论 是 长 期 保存 还 是 临时 存放 ,都 
是 对 物 联 网 安全 技术 的 挑战 。 

7) 抗拒 绝 服务 攻击 

拒绝 服务 攻击 并 不 是 互联 网 独 有 的 ,在 传 感 网 中 实施 拒绝 服务 攻击 更 加 容易 。 每 当 出 
现 某 个 访问 请 求 ,接收 结 点 需要 对 该 请 求 进行 一 系列 的 认证 过 程 ,许多 同样 的 请 求 将 导致 许 
多 次 重复 的 过 程 ,对 一 个 处 理 能 力 不 强 的 汇聚 结 点 而 言 , 很 容易 造成 计算 超出 负荷 ,从 而 导 
致 拒绝 服务 ; 对 于 计算 能 力 更 弱 的 一 个 普通 传 感 结 点 来 说 ,就 更 容易 导致 瘫痪 ,甚至 电能 耗 
尽 。 对 于 传 感 结 点 来 说 ,对 抗拒 绝 服务 攻击 的 有 效 手段 是 采取 适当 的 睡眠 机 制 。 但 是 对 于 
汇聚 结 点 ,睡眠 机 制 是 否 有 效 还 有 待 进一步 的 研究 。 


2.3.3 感知 层 安全 机 制 


在 物 联 网 感知 层 , 需 要 提供 消息 机 密 性 、 数 据 完整 性 和 认证 等 安全 机 制 , 然 而 物 联 网 感 
知 层 的 感知 结 点 受 资源 所 限 , 常 常 只 能 执行 少量 的 计算 和 通信 任务 。 特 别 地 ,对 于 一 些 资源 
非常 受 限 的 感知 结 点 (包括 传感器 结 点 和 RFID 标签 ), 如 何 提 供 所 需要 的 安全 机 制 面临 着 
许多 的 技术 挑战 。 为 此 ,针对 物 联网 感知 层 的 安全 ,需要 轻 量 级 加 密 算 法 和 轻 量 级 安全 认证 
协议 。 

随 着 移动 电子 设备 的 普及 和 RFID、 无 线 传感器 网 络 等 技术 的 发 展 , 越 来 越 多 的 应 用 需 
要 解决 相应 的 安全 问题 。 但 是 ,相对 于 传统 的 台式 和 高 性 能 的 计算 机 ,这 些 移动 设备 的 资源 
环境 通常 有 限 ,存在 着 计算 能 力 比 较 弱 、 计 算 时 可 以 使 用 的 内 存 空 间 比 较 少 以 及 能 耗 有 限 的 
问题 。 传 统 的 加 密 算法 并 不 能 很 好 地 应 用 于 这 种 环境 ,这 样 就 使 得 在 受 限 环境 中 加 密 算法 
的 研究 ,成 为 当前 一 个 迫切 需要 解决 的 热点 问题 。 适 用 于 资源 受 限 环境 中 的 加 密 算法 称 为 
轻 量 级 加 密 算法 。 

轻 量 级 加 密 算法 与 传统 加 密 算法 互相 促进 ,互相 影响 。 一 方面 ,传统 加 密 算法 为 轻 量 级 
加 密 算法 的 设计 与 安全 性 分 析 提 供 了 理论 依据 和 技术 支持 ; 另 一 方面 , 轻 量 级 加 密 算 法 的 
“ 轻 量 级 "特点 ,使 传感器 网 络 的 安全 性 分 析 能 够 更 加 深入 、 全 面 地 展开 。 在 这 个 过 程 中 ,可 
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能 会 出 现 新 的 问题 ,从 而 促进 加 密 算 法 和 安全 技术 的 发 展 。 

物 联网 的 感知 层 安全 需要 轻 量 级 加 密 算法 ,以 适应 资源 受 限 的 感知 结 点 的 环境 需求 。 
然而 ,到 底 什么 是 轻 量 级 并 没有 严格 的 定义 ,也 很 难 给 出 严格 的 定义 。 根 据 国际 RFID 标准 
委员 会 的 规定 ,RFID 标签 需要 留 出 2000 个 门 电路 和 相当 的 硬件 资源 用 于 加 密 算法 的 实 
现 。 因 此 ,研究 者 通常 把 轻 量 级 加 密 算法 定义 为 那些 在 2000 个 门 电路 硬件 资源 之 内 可 以 实 
现 的 加 密 算法 。 准 确 地 说 ,2000 个 门 电路 硬件 资源 仅仅 是 一 个 供 参 考 的 性 能 技术 指标 , 实 
际 上 轻 量 级 加 密 算法 允许 有 不 同 的 性 能 技术 指标 , 某 些 感知 结 点 对 硬件 资源 的 限制 可 能 更 
为 苛刻 ,而 另外 一 些 感知 结 点 则 允许 使 用 更 多 的 硬件 资源 。 

基于 物 联 网 技术 的 发 展 ,近年 来 , 轻 量 级 加 密 算法 引起 了 研究 者 和 业界 的 广泛 关注 。 轻 
量 级 加 密 算法 逐步 从 实验 室 迈 向 实用 阶段 。 轻 量 级 加 密 算法 设计 的 关键 问题 是 处 理 安全 
性 、 实 现代 价 和 性 能 之 间 的 平衡 。 

当前 ,实现 RFID 系统 安全 机 制 的 方法 主要 有 三 大 类 : 物理 安全 机 制 、 密 码 安全 机 制 以 
及 二 者 的 结合 。 

物理 安全 机 制 主要 包括 杀 死 机 制 、 休 眠 机 制 . 阻 塞 机 制 .静电 屏蔽 .主动 干扰 等 方法 ; 密 
码 安全 机 制 主要 包括 喻 希 锁 协 议 、 随 机 喻 希 锁 协议 、 喻 希 链 协议 、 哈 希 函 数 构造 算法 、 基 于 矩 
阵 密 钥 的 认证 协议 数字 图 书馆 协议 等 。 

RFID 系统 的 物理 安全 机 制 和 密码 安全 机 制 将 在 本 书 第 4 章 进一步 分 析 。 


@.4 网 络 层 安 全 分 析 


2.4.1 网 络 层面 临 的 安全 挑战 


物 联 网 的 网 络 层 主要 用 于 把 感知 层 收集 到 的 信息 安全 可 靠 地 传输 到 应 用 层 , 然 后 根据 
不 同 的 应 用 需求 进行 信息 处 理 , 即 网 络 层 主要 提供 信息 传输 所 用 的 网 络 基础 设施 ,包括 互联 
网 、 移 动 通 信 网 和 一 些 专用 网 络 。 在 信息 传输 过 程 中 ,可 能 需要 经 过 一 个 或 多 个 不 同 架 构 的 
网 络 进行 信息 交换 。 例 如 ,手机 与 固定 电话 机 之 间 的 通话 就 是 一 个 典型 的 跨 网 络 架 构 的 信 
息 传输 实例 。 在 传统 的 信息 传输 过 程 中 ,跨越 不 同类 型 网 络 的 信息 传输 是 很 正常 的 ,在 物 联 
网 环境 中 ,这 种 传输 方式 变 得 更 为 典型 ,并且 很 可 能 在 传输 过 程 中 产生 信息 安全 隐患 。 

物 联网 网 络 层 涉及 移动 通信 网 、 国 际 互联 网 和 无 线 网 络 等 多 种 不 同 的 网 络 环境 。 

移动 通信 网 络 的 发 展 早已 超越 了 提供 语音 服务 的 原始 用 途 。 以 智能 手机 为 代表 的 移动 
设备 的 普及 ,也 给 移动 通信 网 络 不 断 地 提出 新 的 需求 。 目 前 移动 通信 网 络 所 提供 的 服务 主 
要 包括 移动 互联 网 、 多 媒体 服务 、 互 动 游戏 、 网 络 聊 天 等 。 因 此 ,对 移动 通信 和 网络 的 攻击 也 远 
远 超越 了 窃听 语音 的 范围 。 

在 物 联 网 中 ,当前 的 IPv4 网 和 下 一 代 的 IPv6 网 都 是 物 联网 信息 传输 的 核心 载体 , 绝 大 
多 数 信息 要 经 过 互联 网 传输 。 传 统 的 互联 网 受到 的 拒绝 服务 攻击 (DoS 攻击 ) 和 分 布 式 拒绝 
服务 攻击 (DDoS 攻击 ) 依 然 存在 ,因此 需要 有 更 好 的 防范 措施 和 灾难 恢复 机 制 。 由 于 物 联 
网 所 连接 的 终端 设备 性 能 和 对 网 络 需求 存在 着 巨大 差异 ,对 网 络 攻击 的 防护 能 力也 会 有 很 
大 差别 ,因此 很 难 设计 通用 的 安全 方案 ,而 应 针对 不 同 的 网 络 安全 需求 采取 不 同 的 解决 
方案 。 
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物 联网 中 感知 层 所 获取 的 感知 信息 通常 由 无 线 传感器 网 络 传输 到 系统 。 与 互联 网 相 
比 , 恶 意 程序 在 无 线 网 络 环境 和 传 感 网 络 环境 中 有 很 多 人 口 。 对 这 些 暴露 在 公共 场所 之 中 
的 感知 信息 ,如 果 不 进行 合理 的 保护 ,就 很 容易 被 入 侵 。 例 如 ,类 似 于 蠕虫 病毒 这 种 恶意 代 
码 一 旦 人 侵 成 功 ,其 隐藏 性、 传播 性 和 破坏 性 等 更 加 难以 防范 ,在 这 样 的 环境 中 检测 和 清除 
这 类 恶意 代码 将 更 加 困难 ,这 直接 影响 到 物 联网 系统 的 安全 性 。 物 联网 建立 在 互联 网 的 基 
础 上 ,对 互联 网 的 依赖 性 很 高 ,在 互联 网 中 存在 的 危害 信息 安全 的 因素 ,在 一 定 程度 上 同样 
也 会 造成 对 物 联网 的 危害 。 随 着 物 联网 的 发 展 ,病毒 攻击 、 黑 客人 侵 、 非 法 授权 访问 等 都 会 
对 物 联 网 用 户 造 成 损害 。 

总 之 ,传统 的 互联 网 网 络 环境 遭遇 到 前 所 未 有 的 安全 挑战 ,而 物 联网 网 络 层 所 处 的 网 络 
环境 也 同样 存在 安全 隐患 。 与 此 同时 ,由 于 不 同 架构 的 网 络 需要 相互 连通 ,因此 在 跨 网 络 架 
构 的 安全 认证 方面 会 面临 更 大 的 挑战 。 


2.4.2 网 络 层 安全 分 析 


在 网 络 层 , 异 构 网 络 的 信息 交换 将 成 为 安全 性 的 脆弱 点 ,尤其 是 在 网 络 认证 方面 ,难免 
出 现 中 间 人 攻击 和 其 他 类 型 的 攻击 。 针 对 这 些 攻击 ,都 需要 有 更 高 的 安全 防护 措施 。 如 果 
仅仅 考虑 互联 网 和 移动 网 以 及 其 他 一 些 专用 网 络 , 则 物 联 网 网 络 层 对 安全 的 需求 可 以 概括 
为 以 下 几 个 方面 。 


1. 数据 机 密 性 
数据 机 密 性 指 网 络 层 需要 保证 数据 在 传输 过 程 中 不 泄露 其 内 容 。 
2. 数据 完整 性 


数据 完整 性 指 网 络 层 需要 保证 数据 在 传输 过 程 中 不 被 非法 自 改 ,或 者 非法 算 改 的 数据 
很 容易 被 检测 出 来 。 


3. 数据 流 机 密 性 

数据 流 机 密 性 指 在 网 络 层 的 应 用 环境 中 ,需要 对 数据 流 进行 保密 。 

4. 分 布 式 拒绝 服务 攻击 的 检测 与 防护 

物 联网 网 络 层 需要 解决 如 何 对 脆弱 结 点 的 分 布 式 拒绝 服务 攻击 进行 检测 与 防护 。 

5. 跨 区 域 、. 跨 网 络 认证 机 制 

跨 区 域 . 跨 网 络 认证 机 制 包括 不 同类 型 的 网 络 所 使 用 的 跨 区 域 认 证 、 跨 网 络 认证 机 制 。 
2.4.3 网络 层 的 安全 机 制 


物 联 网 网 络 层 的 安全 机 制 , 可 以 分 为 端 到 端的 机 密 性 和 结 点 到 结 点 的 机 密 性 。 
端 到 端的 机 密 性 ,需要 建立 以 下 安全 机 制 : 端 到 端 认 证 机 制 、. 端 到 端 密 钥 协商 机 制 、 密 
钥 管 理 机 制 和 机 密 性 算法 选择 机 制 等 。 在 这 些 安全 机 制 中 , 按 需要 可 以 增加 数据 完整 性 
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服务 。 

结 点 到 结 点 的 机 密 性 ,需要 结 点 间 的 认证 和 密 钥 协商 协议 ,这 一 类 协议 要 重点 考虑 效率 
因素 。 机 密 性 算法 的 选择 和 数据 完整 性 服务 ,可 以 根据 需求 选取 或 省 略 。 由 于 存在 跨 网 络 
架构 的 安全 需求 ,因此 需要 建立 不 同 网 络 环境 的 认证 衔接 机 制 。 此 外 ,根据 应 用 层 的 不 同 需 
求 , 网 络 传输 模式 可 以 区 分 为 单 播 通信 、 组 播 通信 和 广播 通信 。 针 对 不 同类 型 的 通信 模式 ， 
也 应 当 有 相应 的 认证 机 制 和 机 密 性 保护 机 制 。 


@.5 应 用 层 安 全 分 析 


2.5.1 云 计算 平 台 安全 
1. 云 计算 平台 概述 


物 联 网 应 用 层 的 任务 就 是 对 感知 数据 的 处 理 与 应 用 。 从 物 联 网 的 行业 应 用 来 分 析 , 应 
用 层 必须 具有 一 定 规模 的 信息 处 理 中 心 和 应 用 平台 ,否则 不 能 承担 起 物 联 网 各 种 行业 应 用 
的 重担 。 为 了 支持 物 联网 产业 的 发 展 ,目前 ,许多 国家 和 地 区 都 建立 了 各 自 的 云 计算 平台 ， 
因此 物 联 网 应 用 层 的 安全 机 制 主要 是 针对 云 计算 平台 而 言 的 。 

作为 物 联网 应 用 层 基础 设施 的 云 计算 平台 ,应 当 具 有 能 力 处 理 海量 数据 。 并 且 , 云 计算 
平台 除了 需要 具有 很 强大 的 信息 处 理 能 力 以 外 ,还 必须 具有 备份 和 抗击 灾害 等 能 力 ; 云 计 
算 平台 应 能 够 应 对 大 量 不 同 用 户 的 访问 ,而 这 种 访问 不 同 于 普通 的 网 站 ,需要 为 用 户 提 供 私 
有 数据 空间 和 私有 计算 处 理 能 力 ,因此 虚拟 化 成 为 云 计算 的 典型 特征 ; 云 计算 平台 将 难免 
遭受 各 类 网 络 攻击 和 系统 安全 的 威胁 ,因此 云 计 算 平 台 必 须 具 有 抗 攻击 和 抗 病 毒 的 能 力 。 


2. 云 计 算 面 临 的 安全 挑战 


云 计算 的 重要 特征 是 智能 ,智能 的 技术 实现 少不了 自动 处 理 技术 ,其 目的 是 使 处 理 过 程 
方便 快捷 ,而 非 智能 的 处 理 手 段 可 能 无 法 应 对 海量 数据 。 但 是 在 自动 处 理 的 过 程 中 ,对 恶意 
数据 特别 是 恶意 代码 的 判断 能 力 是 有 限 的 ,而 智能 也 仅 限于 按照 一 定 规则 进行 过 滤 和 判断 ， 
因此 攻击 者 很 容易 避 开 这 些 规 则 。 例 如 ,对 于 垃圾 电子 邮件 的 过 滤 就 是 一 个 多 年 无 法 彻底 
解决 的 环 手 问题 。 制 定 防御 规则 时 需要 考虑 尽 可 能 多 的 攻击 手段 ,而 攻击 者 只 需要 应 对 已 
知 的 规则 。 云 计算 面临 的 安全 挑战 主要 包括 以 下 几 个 方面 。 

(1) 来 自 于 超大 量 终端 的 海量 数据 的 识别 和 及 时 处 理 。 

(2) 智能 是 否 会 被 敌 方 利用 。 

(3) 自动 是 否 会 变 为 失控 。 

(4) 灾难 控制 和 恢复 能 力 。 

(5) 如 何 杜绝 非法 攻击 。 

由 于 在 物 联 网 时 代 需 要 处 理 的 信息 是 海量 的 , 云 计算 平台 也 是 分 布 式 的 ,因此 当 不 同性 
质 的 数据 通过 一 个 云 计算 平台 处 理 时 ,这 个 云 计算 平台 需要 多 个 功能 各 异 的 处 理 平台 协同 
处 理 。 但 是 首先 应 该 知道 将 哪些 数据 分 配 到 哪个 处 理 平台 ,因此 数据 的 分 类 是 必需 的 。 同 
时 ,基于 安全 性 的 要 求 使 得 许多 信息 都 是 以 加 密 形式 存在 的 ,因此 如 何 快速 有 效 地 处 理 海量 
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加 密 数据 是 智能 处 理 阶段 遇 到 的 一 个 重大 挑战 。 
3. 云 计算 平台 的 安全 机 制 


云 计算 技术 的 智能 处 理 过 程 与 人 类 的 智能 相 比 还 是 有 本 质 的 区 别 , 但 是 计算 机 的 智能 
判断 在 速度 上 是 人 类 智力 判断 所 无 法 比拟 的 。 因 此 ,基于 物 联 网 环境 的 云 计 算 技 术 ,在 智能 
处 理 的 水 平 上 有 望 不 断 提 高 。 反 过 来 说 ,只 要 智能 处 理 过 程 存在 ,就 有 可 能 让 攻击 者 躲 过 智 
能 处 理 的 识别 和 过 滤 , 从 而 达到 攻击 的 目标 。 因 此 , 物 联网 的 云 计算 平台 需要 高 智能 的 处 理 
机 制 。 

如 果 智 能 水 平 很 高 ,那么 就 可 以 有 效 识别 并 自动 处 理 恶 意 数据 和 指令 。 但 是 再 好 的 智 
能 也 会 存在 失误 的 可 能 ,特别 是 在 物 联网 环境 中 ,即使 失误 概率 非常 小 ,因为 自动 处 理 过 程 
的 数据 量 非 常 庞 大 ,所 以 失误 的 情况 还 是 难以 避免 。 在 处 理发 生 失 误 而 使 攻击 者 成 功 入侵 
后 ,如 何 将 攻击 所 造成 的 损失 降 到 最 低 程 度 ,并 尽快 使 系统 从 灾难 中 恢复 到 正常 工作 状态 ， 
是 物 联网 智能 应 用 层 需要 解决 的 另 一 个 重要 问题 。 

云 计算 虽然 使 用 智能 的 自动 处 理 手段 ,但 是 还 是 允许 人 工 干预 ,而 且 人 工 干 预 在 某 些 时 
候 是 必需 的 。 人 工 干预 往往 发 生 在 智能 处 理 过 程 中 无 法 做 出 正确 判断 的 时 候 ,也 可 能 发 生 
在 智能 处 理 过 程 中 出 现 关键 性 中 间 结 果 或 最 终结 果 的 时 候 , 还 可 能 发 生 在 任何 其 他 原因 而 
需要 人 工 干 预 的 时 候 。 人 工 干预 的 目的 是 为 了 使 应 用 层 更 好 的 工作 。 此 外 ,由 于 来 自 于 人 
的 恶意 破坏 行为 具有 很 大 的 不 可 预测 性 ,因此 针对 人 类 的 恶意 破坏 行为 ,除了 采用 技术 手段 
以 外 ,还 需要 依靠 严格 和 科学 的 管理 手段 。 

为 了 实现 物 联 网 云 计算 的 安全 需求 ,需要 提供 以 下 的 安全 机 制 。 

(1) 可 靠 的 认证 机 制 和 密 钥 管理 方案 。 

(2) 高 强度 数据 机 密 性 和 完整 性 服务 。 

(3) 可 靠 的 密 钥 管理 机 制 。 

(4) 密 文 查询 .秘密 数据 挖掘 、 安 全 云 计算 技术 。 

(5) 可 靠 和 高 智能 的 处 理 能 力 。 

(6) 抗 网 络 攻击 ,具有 入 侵 检测 和 病毒 检测 能 力 。 

(7) 恶意 指令 分 析 与 预防 ,访问 控制 及 灾难 恢复 机 制 。 

(8) 保密 日 志 跟 踪 和 行为 分 析 ,恶意 行为 模型 的 建立 。 

(9) 具有 数据 安全 备份 .数据 安全 销毁 以 及 流程 全 方位 审计 能 力 。 

(10) 移动 设备 的 识别 、 定 位 和 追踪 机 制 。 


2.5.2 物 联 网 应 用 层 安全 分 析 


物 联网 应 用 层 行业 应 用 的 设计 目标 ,是 针对 某 个 具体 行业 的 综合 性 的 或 者 个 性 化 的 应 
用 业务 。 行 业 应 用 所 涉及 的 安全 问题 ,仅仅 通过 感知 层 、 网 络 层 、 应 用 层 这 三 层 的 安全 解决 
方案 ,仍然 有 可 能 无 法 解决 。 在 这 些 安全 问题 中 ,隐私 保护 就 是 一 个 典型 的 应 用 需求 。 无 论 
是 感知 层 、 网 络 层 还 是 应 用 层 ,都 没有 涉及 隐私 保护 问题 ,但 是 它 却 是 物 联网 的 特殊 应 用 环 
境 中 的 实际 需求 , 即 应 用 层 的 特殊 安全 需求 。 还 有 , 物 联网 的 数据 共享 分 多 种 情况 ,涉及 不 
同 权 限 的 数据 访问 。 另 外 , 物 联网 应 用 层 还 涉及 知识 产权 保护 、 计 算 机 数据 取证 ,计算 机 数 
据 销毁 等 安全 需求 及 相关 技术 。 
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1. 应 用 层 行 业 应 面临 的 安全 挑战 


物 联 网 应 用 层 的 安全 需求 和 安全 挑战 主要 来 自 以 下 几 个 方面 。 

(1) 根据 不 同 访问 权限 对 同一 数据 库 的 内 容 进 行 簿 选 。 

(2) 既 能 提供 用 户 隐私 信息 保护 ,同时 又 能 正确 认证 。 

(3) 解决 信息 泄露 和 追踪 问题 。 

(4) 进行 计算 机 数据 取证 。 

(5) 销毁 计算 机 数据 。 

(6) 保护 电子 产品 和 软件 的 知识 产权 。 

物 联 网 需要 根据 不 同 的 应 用 需求 对 共享 数据 分 配 不 同 的 访问 权限 ,并 且 不 同 权限 访问 
同一 数据 时 可 能 得 到 不 同 的 结果 ,例如 ,当道 路 交通 监控 视频 数据 用 于 城市 规划 时 仅仅 需要 
很 低 的 分 辩 率 ,因为 城市 的 规划 需要 的 是 交通 拥塞 的 大 致 情况 ; 而 监控 视频 用 于 交通 管制 
时 分 辩 率 就 需要 清晰 一 些 , 因 为 需要 准确 地 知道 交通 实际 情况 ,及 时 发 现 究竟 哪里 发 生 了 交 
通 事故 ,以 及 交通 事故 的 基本 情况 等 ; 当 监控 视频 用 于 公安 侦查 时 可 能 需要 更 高 的 分 辩 率 ， 
以 便于 看 清楚 人 的 身材 和 外 貌 或 者 识别 汽车 牌照 等 信息 。 因 此 ,如 何以 安全 方式 处 理 信息 
是 物 联 网 应 用 中 的 一 项 挑战 。 

在 很 多 情况 下 ,用 户 信息 是 认证 过 程 中 的 必需 信息 ,如 何 为 这 些 信 息 提供 隐私 保护 ,是 
一 个 必须 解决 的 安全 问题 。 

随 着 商业 信息 和 个 人 信息 的 网 络 化 , 越 来 越 多 的 信息 被 认为 是 用 户 隐 私信 息 。 需 要 隐 
私 保护 的 应 用 至 少 应 包括 以 下 几 种 。 

(1) 移动 用 户 既 需要 知道 自己 的 位 置信 息 , 又 不 愿意 非法 用 户 获取 该 信息 。 

(2) 物 联 网 用 户 既 需要 证 明 自 己 有 权 合 法 使 用 某 种 业务 ,又 不 想 让 别人 知道 自己 在 使 
用 这 种 业务 ,例如 金融 交易 、 在 线 游 戏 等 。 

(3) 许多 物 联网 业务 需要 匿名 操作 ,例如 网 络 投票 。 

(4) 在 医疗 管理 系统 中 ,需要 保存 病人 的 相关 信息 ,以 便于 医生 诊 病 时 获取 正确 的 病例 
数据 ,但 又 要 避免 这 些 病例 数据 跟 病 人 的 身份 信息 相关 联 。 在 这 种 情况 下 ,应 当 通过 加 密 技 
术 对 病人 病历 的 隐私 信息 加 以 保护 。 

在 互联 网 环境 的 商业 活动 中 ,无 论 采 用 什么 技术 ,都 难以 避免 恶意 行为 的 发 生 。 假 如 能 
够 根据 恶意 攻击 行为 所 造成 的 后 果 的 严重 程度 给 予 相 应 的 惩罚 , 则 可 以 减少 恶意 行为 的 发 
生 。 在 技术 上 ,就 需要 收集 相关 的 犯罪 证 据 。 因 此 ,计算 机 取证 就 显得 非常 重要 。 然 而 计算 
机 取证 具有 较 大 的 技术 难度 ,原因 是 计算 机 平台 的 种 类 太 多 .包括 多 种 计算 机 操作 系统 和 智 
能 设备 操作 系统 等 。 

与 计算 机 取证 相对 应 的 是 计算 机 数据 销毁 。 数 据 销毁 的 目的 是 销毁 那些 在 密码 算法 和 
密码 协议 实施 过 程 中 所 产生 的 临时 中 间 变 量 , 一 旦 加 密 算 法 和 密码 协议 实施 完成 ,这 些 中 间 
变量 将 不 再 有 用 。 但 是 这 些 中 间 变 量 如 果 落 入 攻击 者 手中 ,就 有 可 能 为 攻击 者 提供 重要 的 
资料 ,从 而 提高 成 功 攻击 的 可 能 性 。 因 此 ,这 些 临 时 中 间 变 量 需 要 及 时 地 从 计算 机 内 存 和 硬 
盘存 储 空间 中 删除 。 同 时 ,计算 机 数据 销毁 技术 也 有 可 能 为 计算 机 犯罪 者 提供 证 据 销毁 工 
有 具 ,从 而 增 大 计算 机 取证 的 难度 。 如 何 处 理 好 计算 机 取证 与 计算 机 数据 销毁 这 对 矛盾 ,也 是 
物 联网 应 用 中 需要 解决 的 安全 问题 。 
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2. 物 联 网 应 用 层 安 全 机 制 


物 联网 的 典型 应 用 是 商业 应 用 ,在 商业 应 用 中 存在 着 大 量 需 要 保护 的 知识 产权 产品 , 包 
插 专 利 、 商 标 、 软 件 和 电子 产品 等 。 在 物 联网 应 用 中 ,对 电子 产品 的 知识 产权 的 保护 将 会 提 
高 到 一 个 新 的 高 度 , 对 相应 的 安全 技术 要 求 也 是 一 项 新 的 挑战 。 

基于 物 联 网 应 用 层 的 安全 需求 和 安全 挑战 ,需要 实现 以 下 的 安全 机 制 。 

(1) 有 效 的 数据 库 访问 控制 和 内 容 筛选 机 制 。 

(2) 不 同 应 用 场景 中 的 隐私 信息 保护 技术 。 

(3) 叛逆 追踪 和 其 他 信息 泄露 追踪 机 制 。 

(4) 有 效 的 数据 取证 技术 。 

(5) 安全 的 数据 销毁 技术 。 

(6) 安全 的 电子 产品 和 软件 的 知识 产权 保护 技术 。 

针对 物 联网 应 用 层 的 这 些 安全 机 制 , 需 要 提供 相应 的 加 密 技 术 ,包括 访问 控制 .匿名 签 
名 、 匿 名 认证 、 密 文 验证 门限 密码 .产道 追踪 .数字 水 印 和 数字 指纹 技术 等 。 


@.6 本 章 小 结 


物 联 网 安全 是 指 物 联网 系统 可 以 连续 地 、 可 靠 地 和 正常 地 运行 ,服务 不 会 中 断 , 物 联网 
系统 中 的 软件 .硬件 和 系统 中 的 数据 受到 保护 ,不 受 人 为 的 恶意 攻击 、 破 坏 和 更 改 。 

互联 网 技术 是 物 联网 的 基础 ,互联 网 的 安全 直接 关系 到 整个 物 联网 的 安全 。 互 联网 安 
全 问题 涉及 网 络 设备 基础 安全 、 网 络 安全 .Web 安全 和 基于 Web 应 用 的 安全 等 各 个 方面 ， 
包括 安全 编码 ,数据 帧 安全 和 密 钥 管理 与 交换 等 。 

物 联网 是 由 大 量 的 传感器 等 设备 构成 的 ,缺少 人 对 设备 的 有 效 监 控 , 并 且 物 联网 设备 种 
类 繁多 数量 庞大 ,所 以 物 联网 还 面临 其 特有 的 安全 威胁 。 包 括 点 到 点 消息 认证 、 重 放 攻 击 、 
拒绝 服务 攻击 、 自 改 或 泄漏 标签 数据 权限 提升 攻击 、 业 务 安全 和 隐私 安全 等 。 

物 联网 安全 的 特点 包括 设备 、 结 点 无 人 看 管 ,容易 受到 物理 操纵 ; 信息 传输 主要 靠 无 线 
通信 方式 ,信号 容易 被 窃取 和 干扰 ; 基于 低 成 本 的 设计 ,传感器 结 点 通常 是 资源 受 限 的 ; 物 
联网 中 的 物品 的 信息 能 够 被 自动 地 获取 和 传送 ; 物 联 网 在 原 有 的 网 络 基础 上 进行 了 延伸 和 
扩展 。 

物 联网 安全 的 体系 结构 包括 信息 采集 安全 ,信息 传输 安全 、 信 息 处 理 安 全 和 信息 应 用 


安全 。 
根据 物 联网 感知 层 安 全 所 涵盖 的 内 容 , 可 以 把 物 联 网 的 感知 层 分 为 两 大 类 , 即 传 感 网 和 
RFID 系统 。 针 对 物 联 网 感知 层 的 安全 ,需要 轻 量 级 加 密 算法 和 轻 量 级 安全 认证 协议 。 

物 联 网 网 络 层 涉及 移动 通信 和 网、 国际 互联 网 和 无 线 网 络 等 多 种 网 络 环境 。 物 联网 网 络 
层 的 安全 机 制 ,可 以 分 为 端 到 端的 机 密 性 和 结 点 到 结 点 的 机 密 性 。 

代表 着 物 联网 应 用 层 的 云 计算 平台 ,除了 需要 有 能 力 处 理 海量 数据 ,还 必须 具有 备份 和 
抗击 灾害 等 能 力 , 能 为 用 户 提供 私有 数据 空间 和 私有 计算 处 理 能 力 , 并 且 具 有 抗 攻击 和 抗 病 
毒 的 能 力 。 

物 联网 的 典型 应 用 是 商业 应 用 ,在 商业 应 用 中 存在 着 大 量 需要 保护 的 知识 产权 产品 , 包 
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括 专 利 、 商 标 、 软 件 和 电子 产品 等 。 针 对 物 联网 应 用 层 的 安全 机 制 ,需要 提供 相应 的 加 密 技 
术 , 包 括 访问 控制 .匿名 签名 、 匿 名 认证 、 密 文 验证 、 门 限 密码 ,叛逆 追踪 、 数 字 水 印 和 数字 指 
纹 技术 等 。 


像 习 思考 是 


. 物 联网 安全 的 含义 是 什么 ? 

. 传统 网 络 面临 哪些 安全 威胁 ? 

. 物 联 网 面临 哪些 特有 的 安全 威胁 ? 

. 请 分 析 物 联网 的 安全 特征 。 

. 请 画图 描述 物 联网 安全 的 体系 结构 。 

. 请 简要 分 析 无 线 传感器 网 络 的 安全 威胁 。 
. 请 简要 分 析 RFID 系统 的 安全 威胁 。 

. 请 简要 说 明 物 联网 感知 层 的 安全 机 制 。 
. 请 简要 说 明 物 联网 网 络 层 的 安全 机 制 。 
10. 请 简要 说 明 物 联网 云 计算 平台 的 安全 机 制 。 
11. 请 简要 说 明 物 联网 应 用 层 的 安全 机 制 。 
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6.i 密码 学 概论 


密码 学 (cryptography) 是 一 门 古 老 而 深奥 的 学 科 , 它 以 认识 密码 变换 为 本 质 , 以 加 密 与 
解密 基本 规律 为 研究 对 象 。Cryptography 一 词 来 源 于 古 希 腊 的 crypto 和 graphen, 意 思 是 
密 写 。 保 密 通 信 的 思想 和 方法 早 在 几 千 年 前 就 已 经 有 了 ,埃及 人 是 最 先 使 用 特别 的 象形 文 
字 作 为 信息 编码 的 人 。 随 着 时 间 推 移 ,巴比伦 、 美 索 不 达 米 亚 和 希腊 都 开始 使 用 一 些 方法 来 
保护 他 们 的 书面 信息 。 对 信息 进行 编码 曾 被 凯撒 大 帝 (Julias Caesar) 使 用 ,也 曾 用 于 历次 战 
争 中 ,包括 美国 独立 战争 .美国 内 战 和 两 次 世界 大 战 。 最 广为人知 的 加 密 机 器 是 德国 的 
Enigma 机 ,在 第 二 次 世界 大 战 中 德国 人 利用 它 创 建 了 加 密 信息 。 此 后 ,由 于 Alan Turing 
和 Ultra 计划 以 及 其 他 人 的 努力 ,终于 对 德国 人 的 密码 进行 了 破解 。 当 初 ,计算 机 的 研究 就 
是 为 了 破解 德国 人 的 密码 ,人 们 并 没有 想到 计算 机 给 今天 带 来 的 信息 技术 革命 。 近 年 来 , 密 
码 学 研究 之 所 以 十 分 活跃 ,主要 是 它 与 计算 机 科学 的 攻 勃 发 展 密切 相关 ; 此 外 ,还 有 在 电 
信 金融 领 域 和 防止 日 益 广 泛 的 计算 机 犯罪 的 需要 。 在 互联 网 出 现 之 前 ,密码 技术 已 经 广泛 
应 用 于 军事 和 民用 方面 。 现 在 ,密码 技术 在 计算 机 网 络 中 的 应 用 实例 越 来 越 多 。 


3.1.1 密码 学 的 历史 
密码 学 的 发 展 历程 大 致 经 历 了 三 个 阶段 : 古代 加 密 方法 .古典 密码 和 近代 密码 。 
1. 古代 加 密 方法 (手工 阶段 ) 


这 一 时 期 的 密码 技术 源 于 战争 需求 ,可 以 说 是 一 种 艺术 ,而 不 是 一 种 科学 。 存 于 石刻 或 
史书 中 的 记载 表明 ,许多 古代 文明 ,包括 埃及 人 .和希 伯 来 人 、 亚 述 人 都 在 实践 中 逐步 发 明了 密 
码 系统 。 从 某 种 意义 上 说 ,战争 是 科学 技术 进步 的 催化 剂 。 人 类 自从 有 了 战争 ,就 面临 着 通 
信安 全 的 需求 ,密码 技术 历史 悠久 、 源 远 流 长。 古代 加 密 方法 大 约 起 源 于 公元 前 440 年 ,出 
现在 古 希腊 战争 中 的 隐 写 术 , 当 时 为 了 安全 传送 军事 情报 ,奴隶 主 弟 光 奴 隶 的 头发 ,将 情报 
写 在 奴隶 的 光头 上 , 待 头发 长 长 后 将 奴隶 送 到 另 一 个 部 落 ,再 次 剃 光头 发 , 原 有 的 信息 复 现 
出 来 ,从 而 实现 这 两 个 部 落 之 间 的 秘密 通信 。 

我 国 古代 也 早 有 以 藏 头 诗 、 藏 尾 诗 、 漏 格 诗 及 绘画 等 形式 ,将 要 表达 的 真正 意思 或 “ 密 
语 ? 隐 藏 在 诗 文 或 画卷 中 特定 位 置 的 记载 ,一 般 人 只 注意 诗 或 画 的 表面 意境 ,而 不 会 去 注意 
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或 很 难 发 现 隐藏 其 中 的 “ 话 外 之 音 ”。 比 如 ,我 画 蓝 江水 悠悠 , 爱 晚 亭 上 枫叶 愁 。 秋 月 溶 溶 照 
佛寺 ,香烟 名 器 绕 轻 楼 ( 藏 头 诗 )。 

最 早 的 密码 技术 ,来 源 于 公元 前 2000 年 。 希 伯 来 人 的 一 种 加 密 方法 是 把 字母 表 调 换 顺 
序 , 这 样 的 字母 表 的 每 一 个 字母 就 被 映射 成 调换 顺序 后 的 字母 表 中 的 另 一 个 字母 ,这 种 加 密 
方法 被 称 为 atbash。 例 如 ,单词 security 就 被 加 密 成 hvxfirgb, 这 是 一 种 代 换 密码 ,因为 一 
个 字母 被 男 一 个 字母 所 代替 。 这 种 代 换 密码 被 称 为 单一 字母 蔡 换 法 ,因为 它 只 使 用 一 个 字 
母 表 , 而 一 次 用 多 个 字母 表 的 加 密 方法 , 则 称 为 多 字母 替换 法 。 公 元 前 400 年 ,斯 巴 达 人 就 
发 明了 * 塞 塔 式 密码 ”, 即 把 长 条 纸 螺旋 形 地 斜 绕 在 一 个 多 棱 棒 上 ,将 文字 沿 棒 的 水 平方 向 从 
左 到 右 书 写 , 写 一 个 字 旋 转 一 下 , 写 完 一 行 再 男 起 一 行 从 左 到 右 写 ,直到 写 完 。 解 下 来 后 , 纸 
条 上 的 文字 消息 杂乱 无 章 、 无 法 理解 ,这 就 是 密 文 ,但 将 它 绕 在 另 一 个 同等 尺寸 的 棒子 上 后 ， 
就 能 看 到 原始 的 消息 。 

后 来 ,朱丽叶 斯 .凯撒 发 明了 一 种 近似 于 atbash 替换 字母 的 方法 。 当 时 , 没 多 少 人 能 
够 第 一 时 间 读 懂 , 这 种 方法 提供 了 较 高 的 机 密 性 。 中 世纪 ,欧洲 人 在 不 断 利用 新 的 方法 、 新 
的 工具 和 新 的 实践 优化 自己 的 加 密 方案 。 在 19 世纪 晚期 ,密码 学 已 经 被 广泛 地 用 作 军 事 上 
的 通信 方法 。 


2. 古典 密码 (机 械 阶段 ) 


古典 密码 的 加 密 方法 一 般 是 文字 置换 ,使 用 手工 或 机 械 变 换 的 方式 实现 。 古 典 密码 系 
统 已 经 初步 体现 出 近代 密码 系统 的 雏形 , 它 比 古代 加 密 方法 复杂 ,其 变化 较 小 。 随 着 机 械 和 
电子 技术 的 发 展 ,电报 和 无 线 通信 的 出 现 ,加 密 装置 得 到 了 突飞猛进 的 提高 ,转子 加 密 机 是 
军事 密码 学 上 的 一 个 里 程 碑 ,这 种 加 密 机 是 在 机 器 内 用 不 同 的 转子 来 替换 字母 , 它 提供 了 很 
高 的 复杂 性 ,从 而 很 难 攻 破 。 

德国 的 Enigma 机 是 历史 上 最 著名 的 加 密 机 ,如 图 3-1 所 示 。 这 种 机 器 有 三 个 转子 ,一 
个 线路 连接 板 和 一 个 反 转 转子 。 在 加 密 过 程 开 始 之 前 ,消息 产生 者 将 Enigma 机 配置 成 初 
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始 设置 ,操作 员 把 消息 的 第 一 个 字母 输入 加 密 机 ,加 密 机 用 另 一 个 字母 来 代替 并 把 这 个 字母 
显示 给 操作 员 看 。 它 的 加 密 机 制 是 : 通过 把 转子 旋转 预定 的 次 数 用 另 一 个 不 同 的 字母 来 代 
蔡 原 来 的 字母 。 因 此 ,如 果 操 作 员 把 T 作为 第 一 个 字符 融入 机 器 中 ,Enigma 机 可 能 会 把 M 
作为 密 文 ,操作 员 把 就 字母 M 写 下 来 ,然后 他 可 以 加 快 转子 的 速度 再 输入 下 一 个 字符 ,每 加 
密 一 个 字符 操作 员 就 加 快 转子 的 速度 作为 一 个 新 的 设置 。 继 续 这 样 下 去 ,直到 整个 消息 被 
加 密 。 然 后 ,加 密 的 密 文通 过 电波 传输 ,大 部 分 情况 是 传 到 潜水 艇 。 这 种 对 每 个 字母 有 选择 
性 地 蔡 换 依赖 于 转子 装置 ,因此 这 个 过 程 的 关键 和 秘密 的 部 分 ( 密 钥 ) 在 于 在 加 密 和 解密 的 
过 程 中 操作 员 是 怎样 加 速 转 子 的 。 两 端的 操作 员 需 要 知道 转子 的 速度 增 量 顺序 以 使 得 德国 
情报 部 门 能 够 正确 地 通信 。 尽 管 Enigma 机 的 装置 在 当时 非常 复杂 ,但 还 是 被 一 组 波兰 密 
码 学 家 攻破 ,从 而 使 得 英国 知道 了 德国 的 进攻 计划 和 军事 行动 。 有 人 说 ,Enigma 机 的 破译 
使 第 二 次 世界 大 战 缩短 了 两 年 。 


3. 近代 密码 (计算 机 阶段 ) 


前 面 介绍 了 古代 加 密 方法 和 古典 密码 ,它们 的 研究 还 称 不 上 是 一 门 科学 。 直 到 1949 年 
香农 发 表 了 一 篇 题 为 “保密 系统 的 通信 理论 ”的 著名 论文 ,该 文 首先 将 信息 论 引入 了 密码 ,从 
而 把 已 有 数 千年 历史 的 密码 学 推 向 了 科学 的 轨道 ,奠定 了 密码 学 的 理论 基础 。 该 文 利用 数 
学 方法 对 信息 源 、 密 钥 源 、 接 收 和 截获 的 密 文 进行 了 数学 描述 和 定量 分 析 , 提 出 了 通用 的 密 
钥 密 码 体制 模型 。 

需要 提出 的 是 ,由 于 受 历史 的 局 限 ,20 世纪 70 年 代 中 期 以 前 的 密码 学 研究 基本 上 是 秘 
密 地 进行 ,而 且 主 要 应 用 于 军事 和 政府 部 门 。 密 码 学 的 真正 蓬 拖 发 展 和 广泛 的 应 用 是 从 20 
世纪 70 年 代 中 期 开始 的 。1977 年 美国 国家 标准 局 颁布 了 数据 加 密 标准 DES 用 于 非 国 家 
保密 机 关 。 该 系统 完全 公开 了 加 密 、 解 密 算法 。 此 举 突破 了 早期 密码 学 的 信息 保密 的 单一 
目的 ,使 得 密码 学 得 以 在 商业 等 民用 领域 的 广泛 应 用 ,从 而 给 这 门 学 科 以 巨大 的 生命 力 。 

在 密码 学 发 展 的 进程 中 的 另 一 件 值得 注意 的 事件 是 ,在 1976 年 ,美国 密码 学 家 迪 非 和 
赫 尔 曼 在 一 篇 题 为 “密码 学 的 新 方向 ”一 文中 提出 了 一 个 绒 新 的 思想 ,不 仅 加 密 算法 本 身 可 
以 公开 ,甚至 加 密 用 的 密 钥 也 可 以 公开 。 但 这 前 不 意味 着 保密 程度 的 降低 。 因 为 如 果 加 密 
密 钥 和 解密 密 钥 不 一 样 ,只 要 将 解密 密 钥 保 密 仍然 可 以 实现 加 密 ,这 就 是 著名 的 公 钥 密码 体 
制 。 若 存在 这 样 的 公 钥 体制 ,就 可 以 将 加 密 密 钥 像 电话 短 一 样 公 开 ,任何 用 户 当 它 想 经 其 他 
用 户 传送 一 加 密 信息 时 ,就 可 以 从 这 本 密 钥 簿 中 查 到 该 用 户 的 公开 密 钥 , 用 它 来 加 密 ,而 接收 
者 能 用 只 有 他 自己 知道 的 解密 密 钥 得 到 明文 。 任 何 第 三 者 都 不 能 获得 明文 。1978 年 ,由 美国 
麻 省 理工 学 院 的 里 维 斯 特 , 沙 米尔 和 阿 德 曼 提出 了 RSA 公 钥 密码 体制 , 它 是 第 一 个 成 熟 的 、 迄 
今 为 止 理论 上 最 成 功 的 公 钥 密码 体制 。 它 的 安全 性 是 基于 数论 中 的 大 整数 因子 分 解 。 该 问题 
是 数论 中 的 一 个 困难 问题 ,至 今 没有 有 效 的 算法 ,这 使 得 该 体制 具有 较 高 的 保密 性 。 

按照 人 们 对 密码 的 一 般 理解 ,密码 是 用 于 将 信息 加 密 而 不 易 破译 ,但 在 现代 密码 学 中 ， 
除了 信息 保密 外 ,还 有 男 一 方面 的 要 求 , 即 信息 安全 体制 还 要 能 抵抗 对 手 的 主动 攻击 。 所 谓 
主动 攻击 指 的 是 攻击 者 可 以 在 信息 通道 中 注入 他 自己 伪造 的 消息 ,以 骗取 合法 接收 者 的 相 
信 。 主 动 攻击 还 可 能 窜改 信息 ,也 可 能 冒名 顶替 ,这 就 产生 了 现代 密码 学 中 的 认证 体制 。 该 
体制 的 目的 就 是 保证 用 户 收 到 一 个 信息 时 ,他 能 验证 消息 是 否 来 自 合 法 的 发 送 者 ,同时 还 能 
验证 该 信息 是 否 被 窜改 。 在 许多 场合 中 ,如 电子 汇款 ,能 对 抗 主动 攻击 的 认证 体制 甚至 比 信 
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息 保密 还 重要 。 

在 密码 学 的 发 展 过 程 中 ,数学 和 计算 机 科学 至 关 重 要 。 数 学 中 的 许多 分 支 如 数论 、 概 率 
统计 、 近 世代 数 、 信 息 论 .椭圆 曲线 理论 .算法 复杂 性 理论 .自动 机 理论 .编码 理 论 等 都 可 以 在 
其 中 找到 各 自 的 位 置 。 

密码 形成 一 门 新 的 学 科 是 受 计算 机 科学 途 勃发 展 刺激 和 推动 的 结果 。 快 速 电子 计算 机 
和 现代 数学 方法 一 方面 为 加 密 技 术 提 供 了 新 的 概念 和 工具 , 男 一 方面 也 给 破译 者 提供 了 有 
力 武器 。 计 算 机 和 电子 学 时 代 的 到 来 给 密码 设计 者 带 来 了 前 所 未 有 的 自由 ,他 们 可 以 轻易 
地 摆脱 原先 用 铅笔 和 纸 进 行 手工 设计 时 易 犯 的 错误 ,也 不 用 再 面 对 用 电子 机 械 方式 实现 的 
密码 机 的 高 额 费用 。 总 之 ,利用 电子 计算 机 可 以 设计 出 更 为 复杂 的 密码 系统 。 


3.1.2 密码 系统 的 概念 


密码 系统 又 称 为 密码 体制 ,是 指 能 完整 地 解决 信息 安全 中 的 机 密 性 、 数 据 完整 性 、 认 证 、 
身份 识别 及 不 可 抵赖 等 问题 中 的 一 个 或 几 个 的 一 个 系统 。 其 目的 是 人 们 能 够 使 用 不 安全 信 
道 进行 安全 的 通信 ,如 图 3-2 所 示 。 


明文 AM 密 文 C XM 
一 四 义 M_ 作 窗 算 法 E Es 解 窗 寂 法 D | 


攻击 
加 密 密 钥 K: 解密 密 钥 Km 


图 3-2 密码 系统 


一 个 密码 系统 由 算法 以 及 所 有 可 能 的 明文 , 密 文 和 密 钥 组 成 。 因 此 ,一 个 完整 的 密码 体 
制 要 包括 如 下 五 个 要 素 {M,C,K,E,D)}: 

(1) M, 明 文 (Plain-text) 是 明文 的 有 限 集 , 称 为 明文 空间 ; 

(2) C, 密 文 (Cipher-text) 是 密 文 的 有 限 集 , 称 为 密 文 空间 ,是 对 明文 变换 的 结果 ; 

(3) KK, 密 钥 (Key) 是 一 切 可 能 的 密 钥 构成 的 有 限 集 , 称 为 密 钥 空间 ; 

(4) 下 ,加 密 算 法 (Encrypt) 是 一 组 含有 参数 的 变换 ; 

(5) DD, 解 密 算法 (Decrypt) 加 密 的 逆 变 换 。 

密码 体制 的 设计 要 求 应 符合 早 在 1883 年 由 科 克 霍 夫 斯 (A. Kerchoffs) 提 出 的 一 个 重要 
原则 : 密码 系统 中 的 算法 即使 为 密码 分 析 者 所 知 , 也 无 助 于 用 来 推导 出 明文 和 密 文 。 

密码 体系 的 加 密 过 程 描述 : C= 二 Ke(M) 

密码 体系 的 解密 过 程 描述 : M 二 Kp(C) 


3.1.3 密码 的 分 类 
从 不 同 的 角度 根据 不 同 的 标准 ,可 以 把 密码 分 成 若干 类 。 
1. 按 应 用 技术 或 历史 发 展 阶段 划分 


(1) 手工 密码 。 以 手工 完成 加 密 操 作 或 者 以 简单 器 具 辅 助 操作 的 密码 , 称 为 手工 密码 。 
第 一 次 世界 大 战 前 主要 是 这 种 操作 形式 的 密码 。 
(2) 机 械 密 码 。 以 机 械 密码 机 或 电动 密码 机 来 完成 加 解密 操作 的 密码 , 称 为 机 械 密码 。 
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这 种 密码 从 第 一 次 世界 大 战 出 现 到 第 二 次 世界 大 战 中 得 到 普遍 应 用 。 

(3) 电子 机 内 乱 密 码 。 通 过 电子 电路 以 严格 的 程序 进行 逻辑 运算 ,以 少量 制 乱 元 素 生 
产 大 量 的 加 密 乱 数 , 因 为 其 制 乱 是 在 加 解密 过 程 中 完成 的 而 无 须 预 先 制作 ,所 以 称 为 电子 机 
内 乱 密码 。 从 20 世纪 50 年 代 末 期 出 现 到 20 世纪 70 年 代 被 广泛 应 用 。 

(4) 计算 机 密码 。 以 计算 机 软件 编程 进行 算法 加 密 为 特点 ,适用 于 计算 机 数据 保护 和 
网 络 通信 等 广泛 用 途 的 密码 。 


2. 按 保密 程度 划分 


(1) 理论 上 保密 的 密码 。 不 管 获取 多 少 密 文 和 有 多 大 的 计算 能 力 , 对 明文 始终 不 能 得 
到 唯一 解 的 密码 , 称 为 理论 上 保密 的 密码 ,也 称 理论 不 可 破 的 密码 。 如 客观 随机 一 次 一 密 的 
密码 就 属于 这 种 类 型 。 

(2) 实际 上 保密 的 密码 。 在 理论 上 可 破 , 但 在 现 有 客观 条 件 下 ,无 法 通过 计算 来 确定 唯 
一 解 的 密码 , 称 作 实际 上 保密 的 密码 。 

(3) 不 保密 的 密码 。 在 获取 一 定数 量 的 密 文 后 可 以 得 到 唯一 解 的 密码 , 叫 作 不 保密 密 
码 。 如 早期 的 单 表 代替 密码 ,后 来 的 多 表 代替 密码 ,以 及 明文 加 少量 密 钥 等 密码 ,现在 都 成 
为 不 保密 的 密码 。 


3. 按 密 钥 方式 划分 


(1) 对 称 式 密码 。 收 发 双方 使 用 相同 密 钥 的 密码 , 称 作 对 称 式 密码 。 传 统 的 密码 都 属 
此 类 。 

(2) 非 对 称 式 密码 。 收 发 双方 使 用 不 同 密 钥 的 密码 , 称 作 非 对 称 式 密码 。 如 现代 密码 
中 的 公共 密 钥 密 码 就 属 此 类 。 

4. 按 明文 形态 划分 

(1) 模拟 型 密码 。 用 以 加 密 模拟 信息 ,如 对 动态 范围 之 内 ,连续 变化 的 语音 信号 加 密 的 
密码 , 称 作 模拟 式 密码 。 

(2) 数字 型 密码 。 用 于 加 密 数字 信息 ,对 两 个 离散 电 平 构成 0、1 二 进 制 关 系 的 电报 信 
息 加 密 的 密码 称 作 数字 型 密码 。 

5. 按 编制 原理 划分 

可 分 为 移 位 .代替 和 置换 三 种 以 及 它们 的 组 合 形式 。 古 今 中 外 的 密码 ,不 论 其 形态 多 么 
繁杂 ,变化 多 么 巧妙 ,都 是 按照 这 三 种 基本 原理 编制 出 来 的 。 移 位 .代替 和 置换 这 三 种 原理 
在 密码 编制 和 使 用 中 相互 结合 ,灵活 应 用 ,形成 了 各 种 不 同 的 密码 算法 。 


6.2 常用 加 密 技术 


加 密 技 术 是 对 信息 进行 编码 和 解码 的 技术 ,编码 是 把 原来 可 读 信 息 ( 又 称 明文 ) 译 成 代 
码 形式 (又 称 密 文 ) ,其 逆 过 程 就 是 解码 (解密 )。 常 用 加 密 技术 主要 分 为 对 称 加 密 算法 和 非 
对 称 加 密 算法 。 
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3.2.1 对 称 加 密 算法 


对 称 加 密 算法 (Symmetric Algorithm) 也 称 为 传统 密码 算法 , 指 加 密 和 解密 使 用 相同 密 
钥 的 加 密 算法 ,就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ,同时 解密 密 钥 也 可 以 从 加 密 密 钥 
中 推算 出 来 。 而 在 大 多 数 的 对 称 算法 中 ,加 密 密 钥 和 解密 密 钥 是 相同 的 ,所 以 也 称 这 种 加 密 
算法 为 秘密 密 钥 算法 或 单 密 密 钥 算法 。 对 称 算法 的 安全 性 依赖 于 密 钥 的 保密 ,泄漏 密 钥 就 
意味 着 任何 人 都 可 以 对 他 们 发 送 或 接收 的 消息 解密 ,所 以 密 钥 的 保密 性 对 通信 性 至 关 重 要 。 
此 外 ,每 对 用 户 每 次 使 用 对 称 加 密 算 法 时 ,都 需要 使 用 其 他 人 不 知道 的 唯一 密 钥 ,这 会 使 得 
发 信 双 发 所 拥有 的 密 钥 数量 成 几何 级 数 增长 , 密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算法 在 
分 布 式 网 络 系统 上 使 用 较为 困难 ,主要 是 因为 密 钥 管理 困难 ,使 用 成 本 较 高 。 在 计算 机 专 网 
系统 中 广泛 使 用 的 对 称 加 密 算 法 有 DES .IDEA 和 AES。 


1. DES 算法 


美国 国家 标准 局 (NBS) 于 1977 年 公布 了 由 IBM 公司 研制 的 一 种 加 密 算法 ,并 批准 把 
它 作为 非 机 要 部 门 使 用 的 数据 加 密 标准 (Data Encryption Standard,DES)。 自 从 公布 以 来 ， 
它 一 直 超越 国界 成 为 国际 上 商用 保密 通信 和 计算 机 通信 的 最 常用 的 加 密 算法 。 当 时 规定 
DES 的 使 用 期 为 10 年 。 后 来 美国 政府 宣布 延长 它 的 使 用 期 ,其 原因 大 概 有 两 条 : 一 是 DES 
尚未 受到 严重 的 威胁 ; 二 是 一 直 没 有 新 的 数据 加 密 标 准 问世 。DES 超期 服役 了 很 长 时 间 ， 
在 国际 通信 保密 的 舞台 上 活跃 了 20 年 。 

DES 是 1972 年 美国 IBM 公司 研制 的 对 称 密码 体制 加 密 算法 。 明 文 按 64 位 进行 分 组 ， 
密 钥 长 64 位 , 密 钥 事 实 上 是 56 位 参与 DES 运算 (第 8、16、24、32、40、48、56、64 位 是 校 验 
位 ,使 得 每 个 密 钥 都 有 奇数 个 1) 分 组 后 的 明文 组 和 56 位 的 密 钥 按 位 替代 或 交换 的 方法 形 
成 密 文 组 的 加 密 方法 。 

1) DES 工作 的 基本 原理 


入 口 参数 有 三 个 ,key sdatavmode。key 为 加 密 解 密使 用 的 密 人 
钥 ,data 为 加 密 解 密 的 数据 ,mode 为 其 工作 模式 。 当 模式 为 加 密 模 和 
式 时 ,明文 按照 64 位 进行 分 组 ,形成 明文 组 , key 用 于 对 数据 加 密 ， 
当 模式 为 解密 模式 时 ,key 用 于 对 数据 解密 。 实 际 运 用 中 , 密 钥 只 用 16 轮 运算 
到 了 64 位 中 的 56 位 ,这 样 才 具 有 高 的 安全 性 。DES 工作 的 基本 原 1 
理 如 图 3-3 所 示 。 末 置 换 

2) DES 算法 的 主要 流程 1 

DES 算法 把 64 位 的 明文 输入 块 变 为 64 位 的 密 文 输出 块 , 它 所 密 文 


使 用 的 密 钥 也 是 64 位 。 整 个 算法 的 主流 程 如 图 3-4 所 示 。DES 算 
法 大 致 可 以 分 成 四 个 部 分 : 初始 置换 .和 迭代 过 程 和 逆 置 换 , 和 迭代 过 程 
中 又 涉及 置换 表 、 函 数 /、S 盒 以 及 子 密 钥 生 成 等 。 
(1) 置换 规则 表 。 
初始 置换 和 北 置 换 均 是 按照 一 张 置换 表 的 置换 规则 进行 置换 。 初 始 置换 主要 有 输入 的 
64 位 数据 按 IP 置换 表 进 行 重新 组 合 ,并 把 输出 分 为 Lo 、R。 两 部 分 ,每 部 分 各 长 32 位 ,其 IP 
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输入 64 位 明文 
1 
IP 置 换 表 | 
1 了 
Lo Ro | 
送 代 16 次 1 
一 一 一 ZLFRH 


ReL®f (RK) (1,2.,16) 


一 


IP 逆 置换 表 


1 
输出 64 位 密 广 


置换 表 如 表 3-1 所 示 。 


图 3-4 DES 算 法 流程 图 


表 3-1 IP 置换 表 
58 | 50|12|34|26|18|110|2 |60|52|44|3|28|120|112|4 
62 | 54|46|38 |30|22|114|6 |64|56|48|40|32|24|16| 8 
57 | 49 | 41 | 33|125|17|9 Wl 0 | 5 | -Ag | 5 | 2 | | 
国医- 到 医 : 汪 区: 二 区 :下 区 :本 区 蛋 攻 到 区 : 油 医 :: 汪 医 :加 医 : 司 攻 > 加 医 : 胃 医 上 二 栈 ， 


表 3-2 IP-1 逆 置 换 表 


即将 输入 的 58 位 换 到 第 1 位 ,第 50 位 换 到 第 2 位 ,以 此 类 推 , 最 后 一 位 是 原来 的 第 7 位 。 
Lo Re 则 是 换 位 输出 后 的 两 部 分 ,Lo 是 输出 的 左 32 位 ,R, 是 右 32 位 。 例 如 ,设置 换 前 的 输入 
值 为 DD;D;…Ds6 , 则 经 过 初始 置换 后 的 结果 为 Lo 二 Dss Dso…Ds; Ru 一 Di De…D， 。 

经 过 16 次 迭代 运算 后 ,得 到 Lis 、Rie ,将 此 作为 输入 ,进行 逆 置 换 , 即 得 到 密 文 输出 。 首 
置换 正好 是 初始 置换 的 逆 运 算 。 例 如 ,第 1 位 经 过 初始 置换 后 ,处 于 第 40 位 ,而 通过 逆 置 换 
IP-1, 又 将 第 40 位 换 回 到 第 1 位 ,其 逆 置 换 IP-1 规则 如 表 3-2 所 示 。 


40 8 48 16 56 24 64 32 39 ? 47 15 55 23 63 31 

38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 

36 4 44 12 52 20 60 28 35 3 43 证 51 19 59 27 

34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 
(2) 迭代 过 程 。 


在 16 轮 和 迭代 的 过 程 中 ,将 每 轮 64 比特 的 输入 分 成 32 比特 的 左右 两 半 , 分 别 记 为 L 和 
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及 ,每 轮 变换 可 用 下 列 公式 表示 : 
L; = Ri 


R; = Lm © f (Re,Ki) 
如 上 述 公式 所 示 , 第 i 轮 迭 代 的 左 半 部 分 直接 即 为 第 i 一 1 轮 的 右 半 部 分 ,而 第 i 轮 右 半 


部 分 为 第 i 一 1 轮 左 半 部 分 异 或 (Ri ,K;)。 


(3) 函数 /。 
函数 /有 两 个 输入 : 32 位 的 Ri_1 和 48 位 K;,f 函数 的 处 理 流程 如 图 3-5 所 示 。 


32 位 Rj 1 
天 变换 
48 位 
四 一 一 48 位 K, 


48 位 | 


SD) ©) CE ED) ES) CE) ) CD) 


32 位 
P 变 换 
1 


32 位 输出 


图 3-5 下 函数 的 处 理 流程 图 


(4) 换 位 表 。 
图 3-5 中 巨变 换 的 算法 是 从 Ri-; 的 32 位 中 选取 某 些 位 ,构成 48 位 。 即 瓦 将 32 比特 


扩展 变换 为 48 位 ,变换 规则 根据 下 置换 表 , 如 表 3-3 所 示 。 


表 3-3 EE 置换 表 
32 1 2 3 4 5 4 5 6 La 8 9 8 9 10 11 
12 | 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 
26 27 28 29 28 29 30 31 32 1 


22 | 23 24 25 24 25 


图 3-5 中 了 变换 的 算法 是 从 S 盒 的 输出 作为 P 变换 的 输入 ,P 的 功能 是 对 输入 进行 置 


换 , 已 置换 表 如 表 3-4 所 示 。 
表 3-4 也 置 换 表 


29 12 28 La 1 15 23 26 


16 村 20 21 
9 19 13 30 6 22 W 4 


8 24 14 32 27 3 


25 


(5) 子 密 钥 K;。 
假设 密 钥 为 KK ,长 度 为 64 位 ,但 是 其 中 第 8、16、24、32、40、48、64 用 作 奇 偶 校 验 位 ,实际 


上 密 钥 长 度 为 56 位 。K 的 下 标 i 的 取 值 范围 是 1~16, 用 16 轮 变换 来 构造 。 


子 密 钥 K; 的 构造 过 程 如 图 3-6 所 示 。 
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PC2 变 换 = 48 位 K; 


64 位 密 钥 字 符 串 大 
时 
PC1 变 换 
56 位 
28 位 f 人 

Co Do 

1 1 

LS) LS 

1 1 

总 Di 

i i = PC2 变 换 /一 48 位 KI 
Ls; LS; 

1 1 

Cs D; 

1 1 “| 
1 1 
LSis LSie 

1 1 

Cie D's 

t 


-| PC2 变 换 一 一 48 位 Ki 


图 3-6 子 密 钥 K; 生成 过 程 


首先 ,对 于 给 定 的 密 钥 天 ,应 用 PC1 变换 进行 选 位 , 选 定 后 的 结果 是 56 位 , 设 其 前 28 
位 为 Co ,后 28 位 为 D。PC1 选 位 如 表 3-5 所 示 。 


表 3-5 PC1 变换 表 
57 49 41 33 25 17 9 1 58 50 42 34 26 18 
10 2 59 51 43 35 27 19 1 3 60 52 44 36 
63 55 47 39 31 23 15 62 54 46 38 30 22 
14 6 61 53 45 37 29 21 13 5 28 20 12 4 


第 一 轮 : 对 Co 作 左 移 LS1 得 到 Ci ,对 D。 作 左 移 LS1 得 到 Di ,对 CD 应 用 PC2 进行 
选 位 ,得 到 Ki。 其 中 LS1 是 左 移 的 位 数 ,如 表 3-6 所 示 。 


表 3-6 LS 左 移 表 


2 


2 


1 


2 2 2 2 2 2 1 


表 3-6 中 的 第 一 列 是 LS1 ,第 二 列 是 LS2 ,以 此 类 推 。 左 移 的 原理 是 所 有 二 进位 向 左 移 
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动 , 原 来 最 右边 的 比特 位 移动 到 最 左边 。 其 中 PC2 如 表 3-7 所 示 。 
表 3-7 PC2 变换 表 


14 17 11 24 1 5 3 28 15 6 21 10 
23 19 12 4 26 8 16 7 27 20 13 2 
41 52 31 37 47 55 30 40 51 45 33 48 
44 49 39 56 34 53 46 42 50 36 29 32 


第 二 轮 : 对 Ci、D, 作 左 移 LS2 得 到 C: 和 D; ,进一步 对 C* 、.D。 应 用 PC2 进行 选 位 ,得 
到 KK。。 如 此 继续 ,分 别 得 到 K;,K,,…, Ki。 

(6) S 盒 的 工作 原理 。 

S 盒 以 6 位 作为 输入 ,而 以 4 位 作为 输出 ,现在 以 Si 为 例 说 明 其 过 程 。 假 设 输入 为 
A 二 ala2a3a4a5a6, 则 a2a3a4a5 所 代表 的 数 是 0 一 15 之 间 的 一 个 数 , 记 为 : & 二 a2a3a4a5; 
由 ala6 所 代表 的 数 是 0 一 3 间 的 一 个 数 , 记 为 h==ala6。 在 Si 的 hh 行 ,k 列 找到 一 个 数 B,B 
在 0 一 15 之 间 , 它 可 以 用 4 位 二 进 制 表示 ,为 B==61525354, 这 就 是 Si 的 输出 ,如 图 3-7 
所 示 。 


48 位 寄存 器 
6 位 
LI 
sz 
32 位 寄存 器 
图 3-7 S 盒 变换 


如 6 位 输入 的 第 1 和 第 6 位 组 合 构成 了 2 位 二 进 制 数 ,可 表示 十 进 制 数 0 一 3, 它 对 应 着 
表 中 的 一 行 ; 6 位 输入 的 第 2 到 第 5 位 组 合 构成 了 4 位 二 进 制 数 ,可 表示 十 进 制 数 0 一 15， 
它 对 应 着 表 中 的 一 列 。 假 设 S; 盒 的 6 位 输入 是 110100 ,其 第 1 位 和 第 6 位 组 合 为 10, 它 对 
应 Si 盒 的 第 2 行 ; 中 间 4 位 组 合 为 1010, 它 对 应 S, 盒 的 第 10 列 。S; 盒 的 第 2 行 第 10 列 
的 数 是 9, 其 二 进 制 数 为 1001( 行 和 列 的 计数 均 从 0 开始 而 非 从 1 开始 )。1001 即 为 输出 ， 
则 1001 就 代替 了 110100。 

DES 算 法 的 解密 过 程 是 一 样 的 ,区 别 仅 仅 在 于 第 一 次 迭代 时 用 子 密 钥 Kis ,第 二 次 
Ku ,最 后 一 次 用 K。 ,算法 本 身 并 没有 任何 变化 。DES 的 算法 是 对 称 的 , 既 可 用 于 加 密 又 可 
用 于 解密 。 

3) DES 算法 的 安全 性 

DES 算法 是 安全 性 比较 高 的 一 种 算法 ,目前 只 有 一 种 方法 可 以 破解 该 算法 , 那 就 是 穷 
举 法 。 采 用 64 位 密 钥 技术 ,实际 只 有 56 位 有 效 ,8 位 用 来 校 验 。 壁 如 ,有 这 样 的 一 台 PC， 
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它 能 每 秒 计算 一 百 万 次 ,那么 对 于 256 位 空间 ,要 穷 举 它 的 时 间 为 2285 年 ,所 以 这 种 算法 还 
是 比较 安全 的 一 种 算法 。 


2. 三 重 DES(3DES) 


DES 的 主要 密码 学 缺点 就 是 密 钥 长 度 较 短 。 为 了 解决 使 用 DES 技术 56 位 时 密 钥 日 益 
减弱 的 强度 问题 ,其 办 法 之 一 是 采用 三 重 DES 算法 (Triple DES 或 3DES) ,即使 用 两 个 独 
立 密 钥 K 和 K, 对 明文 运行 DES 算法 三 次 ,得 到 112 位 有 效 密 钥 强度 , 若 对 3DES 的 穷 举 
攻击 需要 2112 次 ,而 不 是 DES 的 264 次 。 其 算法 的 步骤 如 下 : 

(1) 用 密 钥 KK 进行 DES 加 密 ; 

(2) 用 步骤 (1) 的 结果 使 用 密 钥 K。 进行 DES 解密 ; 

(3) 用 步骤 (2) 的 结果 使 用 密 钥 K, 进行 DES 加 密 。 

这 个 过 程 称 为 EDE, 因 为 它 是 由 加 密 -解密 -加 密 (Encrypt Decrypt Encrypt) 步 又 组 成 
的 。 在 EDE 中 ,中 间 步 骤 是 解密 ,所 以 ,可 以 使 人 ,一 K。 来 用 三 重 DES 方法 执行 常规 的 
DES 加 密 。 

三 重 DES 的 缺点 是 时 间 开 销 较 大 ,三 重 DES 的 时 间 是 DES 算法 的 3 倍 。 但 从 另 一 方 
面 看 ,三 重 DES 的 112 位 密 钥 长 度 在 可 以 预见 的 将 来 可 认为 是 适合 的 。 

DES 被 认为 是 安全 的 ,这 是 因为 要 破译 它 可 能 需要 尝试 256 位 密 钥 直 到 找到 正确 的 

3. IDEA 加 密 


1) IDEA 加 密 算法 概述 

国际 数据 加 密 算法 (International Data Encryption Algorithm,IDEA) 是 瑞士 的 James 
Massey、Xuejia Lai 等 人 提出 的 加 密 算法 ,在 密码 学 中 属于 数据 块 加 密 算法 (Block Cipher) 
类 。IDEA 使 用 长 度 为 128 位 的 密 钥 , 数 据 块 大 小 为 64 位 。 从 理论 上 讲 ,IDEA 属于 * 强 ?加 
密 算法 ,至今 还 没有 出 现 对 该 算法 的 有 效 攻 击 算法 。 

早 在 1990 年 ,Xuejia Lai 等 人 在 EuroCrypt”90 年 会 上 提出 了 分 组 密码 建议 (Proposed 
Encryption Standard,PES) 。 在 EuroCrypt”91 年 会 上 ,Xuejia Lai 等 人 又 提出 了 PES 的 修 
正版 IPES(Improved PES)。 目 前 IPES 已 经 商品 化 ,并 改名 为 IDEA。IDEA 已 由 瑞士 的 
Ascom 公司 注册 专利 ,以 商业 目的 使 用 IDEA 算法 必须 向 公司 申请 许可 。 

这 种 算法 是 在 DES 算法 的 基础 上 发 展 出 来 的 ,类 似 三 重 DES。 发 展 IDEA 也 是 因为 感 
到 DES 具有 密 钥 太 短 等 缺点 ,已 经 过 时 。IDEA 的 密 钥 为 128 位 ,这 么 长 的 密 钥 在 今后 若 
干 年 内 应 该 是 安全 的 。 类 似 于 DES,IDEA 算法 也 是 一 种 数据 块 加 密 算法 , 它 设 计 了 一 系列 
加 密 轮 次 ,每 轮 加 密 都 使 用 从 完整 的 加 密 密 钥 中 生成 的 一 个 子 密 钥 。 与 DES 的 不 同 处 在 
于 , 它 采用 软件 实现 和 采用 硬件 实现 同样 快速 。 由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 
的 , 避 开 了 美国 法 律 上 对 加 密 技术 的 诸多 限制 ,因此 ,有 关 IDEA 算法 和 实现 技术 的 书籍 都 
可 以 自由 出 版 和 交流 ,可 极 大 地 促进 IDEA 的 发 展 和 完善 。 

目前 IDEA 在 工程 中 已 有 大 量 应 用 实例 ,PGP(Pretty Good Privacy) 就 使 用 IDEA 作为 
其 分 组 加 密 算 法 ; 安全 套 接 字 (Secure Socket Layer,SSL) 也 将 IDEA 包含 在 其 加 密 算 法 库 
SSLRef 中 ; IDEA 算法 专利 的 所 有 者 Ascom 公司 也 推出 了 一 系列 基于 IDEA 算法 的 安全 
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产品 ,包括 基于 IDEA 的 Exchange 安全 插件 ,IDEA 加 密 芯 片 IDEA 加 密 软件 包 等 。IDEA 
算法 的 应 用 和 研究 正在 不 断 走 向 成 熟 。 

2) IDEA 算法 原理 

IDEA 是 一 种 由 8 个 相似 圈 (Round) 和 一 个 输出 变换 (Output Transformation) 组 成 的 
迭代 算法 。IDEA 的 每 个 圈 都 包含 三 种 基本 运算 , 即 乘法 .加 法 和 蜡 或 。 在 加 密 之 前 ,IDEA 
通过 密 钥 扩 展 (Key Expansion) 将 128bit 的 密 钥 扩展 为 52Byte 的 加 密 密 钥 (Encryption 
Key,EK) ,然后 由 EK 计算 出 解密 密 钥 (Decryption Key, DK)。EK 和 DK 分 为 8 组 半 密 
钥 ,每 组 长 度 为 6Byte, 前 8 组 密 钥 用 于 8 圈 加 密 ,最 后 半 组 密 钥 (4Byte) 用 于 输出 变换 。 
IDEA 的 加 密 过 程 和 解密 过 程 是 一 样 的 ,只 不 过 使 用 不 同 的 密 钥 (加 密 时 用 EK, 解 密 时 用 
DK) 。 

密 钥 扩展 的 过 程 如 下 : 

(1) 将 128bit 的 密 钥 作 为 EK 的 前 8byte; 

(2) 将 前 8byte 循环 左 移 25bit, 得 到 下 一 8byte, 将 这 个 过 程 循环 7 次 ; 

(3) 在 第 7 次 循环 时 , 取 前 4byte 作为 EK 的 最 后 4byte; 

(4) 至 此 52byte 的 EK 生成 完毕 。 

3) IDEA 算法 的 安全 性 

IDEA 算法 的 密 钥 为 128bits(DES 的 密 钥 为 56bits) ,设计 者 尽 最 大 努力 使 该 算法 不 受 
差分 密码 分 析 的 影响 ,数学 家 已 证 明 IDEA 算法 在 其 8 圈 迭 代 的 第 4 圈 之 后 便 不 受 差分 密 
码 分 析 的 影响 了 。 假 定 穷 举 法 攻击 有 效 的 话 ,那么 即使 设计 一 种 每 秒 钟 可 以 试验 10 亿 个 密 
钥 的 专用 芯片 ,并 将 10 亿 片 这 样 的 芯片 用 于 此 项 工作 , 仍 需 1013 年 才能 解决 问题 ; 另 一 方 
面 , 若 用 1024 片 这 样 的 芯片 ,有 可 能 在 一 天 内 找到 密 钥 ,不 过 人 们 还 无 法 找到 足够 的 半导体 
材料 来 设计 和 制造 这 样 的 芯片 。 目 前 , 尚 无 一 篇 公开 发 表 的 试图 对 IDEA 进行 密码 分 析 的 
文章 。 因 此 ,就 现在 来 看 应 当 说 IDEA 是 非常 安全 的 。 并 且 ,IDEA 算法 比 RSA 算法 快 得 
多 ,又 比 DES 算法 要 相对 安全 得 多 。 


3.2.2 非 对 称 加 密 算 法 


美国 斯 坦 福 大 学 的 两 名 学 者 W. Diffie 和 M. Hellman 于 1976 年 在 IEEE Transactions 
on Information Theory 杂志 上 发 表 了 文章 New Direction in Cryptography, 提 出 了 “公开 密 
钥 密码 体制 ”的 概念 ,开创 了 密码 学 研究 的 新 方向 。 公 开 密 钥 密 钥 体 制 的 产生 主要 有 两 个 方 
面 的 原因 : 一 是 由 于 对 称 密 钥 密码 体制 的 密 钥 分 配 问题 ,二 是 由 于 对 数字 签名 的 需求 。 

非 对 称 密码 系统 的 解密 密 钥 与 加 密 密 钥 是 不 同 的 ,一 个 称 为 公开 密 钥 , 另 一 个 称 为 私人 
密 钥 (或 秘密 密 钥 ) ,因此 这 种 密码 体系 也 称 为 公 钥 密码 体系 。 公 钥 密 码 体制 的 算法 中 最 著 
名 的 代表 是 RSA 算法 ,此 外 还 有 椭圆 曲线 .背包 密码 `.MecEliece 密码 、Diffe-Hellman、Rabin 
和 ElGamal 算法 等 。 


1. RSA 算法 


RSA 算法 是 最 著名 、 应 用 最 广 的 公 钥 密 码 算法 。 它 是 在 1978 年 由 Rivest、Shamir 和 
Adleman 三 个 人 共同 提出 的 ,并 以 三 个 发 明 者 的 名 字 的 首 字母 命名 。RSA 的 安全 性 取决 于 
大 模 数 的 因子 分 解 的 困难 性 ,其 公开 密 钥 和 私人 密 钥 是 一 对 大 素数 (100 到 200 位 的 十 进 制 
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数 或 更 大 ) 的 函数 ,从 一 个 公开 密 钥 和 密 文中 恢复 出 明文 的 难度 等 同 于 分 解 两 个 大 素数 之 积 
的 难度 。 从 严格 的 技术 角度 上 来 说 这 是 不 正确 的 ,在 数学 上 至 今 还 没有 证 明 分 解 模 数 就 是 
攻击 RSA 的 最 佳 方法 ,也 未 能 证 明 分 解 大 整数 就 是 NP 问题 。 事 实 的 情况 是 ,大 整数 因子 
分 解 问题 过 去 几 百 年 来 一 直 是 令 数学 家 头疼 而 又 未 能 有 效 解决 的 世界 性 难题 。 人 们 设想 了 
一 些 非 因子 分 解 的 途径 来 攻击 RSA 算法 ,但 这 些 方法 都 不 比分 解 模 数 来 得 容易 。 因 此 , 严 
格 地 说 ,RSA 的 安全 性 基于 求解 其 单 向 函数 的 逆 的 困难 性 。RSA 单 向 函数 求 逆 的 安全 性 
没有 真正 的 因子 分 解 模 数 的 安全 性 高 ,而 且 目 前 人 们 也 无 法 证 明 这 两 者 是 等 价 的 。 许 多 研 
究 人 员 都 试图 改进 RSA 算法 使 它 的 安全 性 等 价 于 因子 分 解 模 数 。 

RSA 是 最 具 代 表 性 的 公 钥 密码 算法 ,可 能 也 是 最 知名 和 最 古老 的 公 钥 密码 算法 。 由 于 
算法 完善 ( 既 可 以 用 于 数据 加 密 , 又 可 用 于 数字 签名 ) ,安全 性 良好 ,易于 理解 和 实现 ,RSA 
已 经 成 为 了 一 种 应 用 极为 广泛 的 公 钥 密码 算法 。 

RSA 算法 的 思路 如 下 : 

1) 密 钥 生成 

(1) 系统 产生 两 个 大 素数 p,q (保密 )。 为 了 获得 最 大 程度 的 安全 性 , 选 两 数 的 长 度 
一 样 。 

(2) 计算 模 数 n 二 pXg( 公 开 ), 欧 拉 函 数 B(n) 二 (p 一 1) XX (g 一 1) (保密 )。 

(3) 随机 选取 加 密 密 钥 e, 使 e。 和 @(n) 互 素 , 即 满足 ; 0 过 e<B(n) 自 gcd(e,@$(n)) 二 1。 

(4) 用 欧 几 里 得 (Euclidean) 扩 展 算法 计算 解密 密 钥 d,d 满足 exd 三 1 mod @B(n), 即 d 一 
e 一 1 mod ®B(n), 

(5) e 入 n 为 公开 密 钥 ,d 是 私人 密 钥 。 两 个 大 数 p 和 g 应 该 立即 丢弃 ,不 让 任何 人 知 
道 。 一 般 选 择 公开 密 钥 e 比 私 人 密 钥 d 小 。 最 常 选用 的 e 值 有 3 个 , 即 3、17、65 537。 

2) RSA 加 密 和 解密 过 程 

加 密 消 息 时 ,首先 将 明文 分 组 并 数字 化 ,每 个 数字 化 分 组 明文 的 长 度 不 大 于 2( 采 用 二 
进 制 数 , 选 到 小 于 的 2d 的 最 大 次 寡 ) , 设 mi 表示 消息 分 组 ,ci 表示 加 密 后 的 密 文 , 它 与 mi 
有 具 有 相同 的 长 度 。 

对 每 个 明文 分 组 m 依次 进行 加 解密 运算 : 

(1) 加 密 运算 : 使 用 公 钥 e 和 要 加 密 的 明文 m 进行 ci 二 mie(mod n) 运 算 即 得 密 文 。 

(2) 解密 运算 : 使 用 私 钥 d 和 要 解密 的 密 文 c 进行 mi=cid(mod n) 运 算 即 得 明文 。 
RSA 的 实现 过 程 如 图 3-8 所 示 。 


下 面 举例 说 明 RSA 算法 的 实现 过 程 。 
OO 取 两 个 质数 p= 二 11,g 二 13,p 和 9g 的 乘积 为 n 二 pXg= 二 143; 
@ 算出 男 一 个 数 B(n)=(p 一 1) Xx (g 一 1)==120; 


@ 再 选取 一 个 与 $B(n) 二 120 互 质 的 数 ,例如 e 二 7, 则 公开 密 钥 二 (ns,e) 二 (143,7); 

@ 对 于 这 个 e 值 ,可 以 算出 其 道 : d 二 103。 因 为 eXd 二 7X103 二 721, 满 足 eXd mod B(n) 王 
1; 即 721 mod 120 王 1 成 立 , 则 秘密 密 钥 ==(n,d) 二 (143,103)。 

设 张 小 姐 需要 发 送 机 密 信息 (明文 )m 二 85 给 李 先 生 , 她 已 经 从 公开 媒体 得 到 了 李 先 生 
的 公开 密 钥 (n,e) 二 (143,7), 于 是 她 算出 加 密 值 : c= me mod n= 二 857 mod 143 王 123 并 发 
送 给 李 先 生 。 

李 先 生 在 收 到 密 文 c 王 123 后 ,利用 只 有 他 自己 知道 的 秘密 密 钥 计算 : m= 二 cd modn = 
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开始 


以 时 间 为 随机 种 子 (保证 每 次 生成 的 随机 数 不 一 样 ) 随 机 生成 两 个 素数 P、4 
2<p 、4<216=65 536, Bp#g 


计算 on)=(p-1)x(q-1) 和 n=p*q 
生成 加 密 密 钥 e=1 mod p(n) 


根据 4d=1 mod 9 (n) 求 解密 密 钥 d 


生成 私 钥 (d.n) 和 公 和 钥 (e,n) 


根据 C=M(1 mod 9 (m))， 输 入 明文 生成 密 文 


用 私 钥 解密 加 密 的 密 文 ， 并 以 字符 和 字符 串 的 格式 输出 


开始 
图 3-8 RSA 算法 的 实现 过 程 


123103 mod 143 王 85, 所 以 , 李 先 生 可 以 得 到 张 小 姐 发 给 他 的 真正 的 信息 xm 二 85, 实 现 了 
解密 。 

3) RSA 算法 的 特点 及 应 用 

RSA 算法 具有 密 钥 管理 简单 (网 上 每 个 用 户 仅 需 保 密 一 个 密 钥 , 且 不 需 配 送 密 钥 )、 便 
于 数字 签名 .可 靠 性 较 高 (取决 于 分 解 大 素数 的 难 易 程度 ) 等 优点 ,但 也 具有 算法 复杂 加密 / 
解密 速度 慢 、 难 于 用 硬件 实现 等 缺点 。 因 此 , 公 钥 密码 体制 通常 被 用 来 加 密 关键 性 的 、 核 心 
的 、 少 量 的 机 密 信息 ,而 对 于 大 量 要 加 密 的 数据 通常 采用 对 称 密码 体制 。 

RSA 算法 的 安全 性 建立 在 难于 对 大 整数 提取 因子 的 基础 上 ,已 知 的 证 据 都 表明 大 整数 
因 式 分 解 问题 是 一 个 极其 困难 的 问题 。 但 是 , 随 着 分 解 大 整数 方法 的 进步 及 完善 .计算 机 速 
度 的 提高 以 及 计算 机 网 络 的 发 展 , 要 求 作为 RSA 加 密 / 解 密 安全 保障 的 大 整数 越 来 越 大 。 

RSA 算法 的 保密 性 ,取决 于 dui 大 素数 因 式 分 解 的 时 间 。 假 定 用 106 次 / 秒 的 计算 机 进 
行 运算 ,用 最 快 的 公式 分 解 n= 二 100 位 十 进 制 数 要 用 74 年 ,分 解 200 位 数 要 用 3. 8X109 年 。 
可 见 , 当 交 足 够 大 时 ( 户 和 q 各 为 100 位 时 ,n 为 200 位 ), 对 其 进行 分 解 是 很 困难 的 。 可 以 
说 ,RSA 的 保密 强度 等 价 于 分 解 的 难 易 程度 。 

RSA 算法 为 公用 网 络 上 信息 的 加 密 和 鉴别 提供 了 一 种 基本 的 方法 。 他 通常 是 先生 成 
一 对 RSA 密 钥 ,其 中 之 一 是 保密 密 钥 ,由 用 户 保 存 ; 另 一 个 为 公开 密 钥 ,可 对 外 公开 ,甚至 
可 在 网 络 服务 器 中 注册 。 


2. 椭圆 曲线 密码 算法 


1) 椭圆 曲线 密码 概述 
椭圆 曲线 密码 学 (Elliptic Curve Cryptography,ECC) 是 基于 椭圆 曲线 数学 的 一 种 公 钥 


第 3 章 ”信息 安全 技术 基础 


密码 的 方法 。 椭 圆 曲 线 在 密码 学 中 的 使 用 是 在 1985 年 由 Neal Koblitz 和 Victor Miller 分 
别 独立 提出 的 。ECC 的 主要 优势 是 在 某 些 情况 下 它 比 其 他 的 方法 使 用 更 小 的 密 钥 ( 如 
RSA) 提 供 相当 的 或 更 高 等 级 的 安全 。ECC 的 另 一 个 优势 是 可 以 定义 群 之 间 的 双 线 性 映 
射 ,基于 Weil 对 或 Tate 对 。 双 线性 映射 已 经 在 密码 学 中 发 现 了 大 量 的 应 用 ,例如 基于 身份 
的 加 密 。 不 过 它 的 一 个 缺点 是 加 密 和 解密 操作 的 实现 比 其 他 机 制 花费 的 时 间 长 。 椭 圆 曲线 
密码 学 的 许多 形式 稍微 有 所 不 同 ,所 有 的 都 依赖 于 被 广泛 承认 的 解决 椭圆 曲线 离散 对 数 问 
题 的 困难 性 上 ,对 应 有 限 域 上 椭圆 曲线 的 群 。 

椭圆 曲线 是 用 三 次 方程 来 表示 的 ,该 方程 与 计算 椭圆 周 长 的 方程 相似 ,因而 称 为 椭圆 曲 
线 。 在 ECC 中 ,我 们 关心 的 是 某 种 特殊 形式 的 椭圆 曲线 , 即 定义 在 有 限 域 上 的 椭圆 曲线 , 椭 
圆 曲 线 的 吸引 人 之 处 在 于 提供 了 由 “元 素 ” 和 “组 合 规则 ”来 组 成 群 的 构造 方式 ,用 这 些 群 来 
构造 密码 算法 具有 完全 相似 的 特性 , 且 没 有 减少 密码 分 析 的 分 析 量 。 

2) 椭圆 曲线 国际 标准 

椭圆 曲线 密码 系统 已 经 形成 了 若干 国际 标准 ,其 涉及 加 密 、 签 名 、 密 钥 管 理 等 方面 ， 

(1) IEEE P1363: 加 密 、 签 名 、 密 钥 协 商机 制 。 

(2) ANSI X9: 椭圆 曲线 数字 签名 算法 , 即 椭圆 曲线 密 钥 协商 和 传输 协议 。 

(3) ISOVIEC: 椭圆 曲线 EIGamal 体制 签名 。 

(4) IETF: 椭圆 曲线 DH 密 钥 交 换 协 议 。 

(5) ATM Forum: 异步 传输 安全 机 制 。 

(6) FIPS 186-2: 美国 政府 用 于 保证 其 电子 商务 活动 中 的 机 密 性 和 完整 性 。 

3) 椭圆 曲线 技术 实现 

ECC 的 技术 实现 可 以 分 成 4 个 层次 : 运算 层 、 密 码 层 .接口 层 和 应 用 层 。 运 算 层 最 基 
础 、 最 核心 ; 应 用 层 最 接近 用 户 。 

(1) 运算 层 。 

运算 层 的 主要 功能 是 提供 密码 算法 的 所 有 数论 运算 支持 ,包括 大 整数 加 、 减 乘 、 除 、 模 、 
道 , 模 笑 等 。 运 算 层 的 实现 效率 将 对 整个 密码 系统 的 效率 起 决定 性 作用 。 因 而 运算 层 的 编 
程 工 作 是 算法 实现 最 核心 .最 基础 ,也 是 最 艰巨 的 部 分 。 

(2) 密码 层 。 

密码 层 的 主要 功能 是 在 运算 层 的 支持 上 选择 适当 的 密码 体制 ,科学 地 ,准确 地 、 安 全 地 
实现 密码 算法 。 在 相同 的 运算 层 的 基础 上 ,可 以 构建 起 多 种 密码 体制 。 对 于 密码 体制 和 具 
体 结构 的 选择 和 实现 是 密码 层 的 核心 内 容 。 最 终 ,密码 系统 的 安全 性 将 决定 于 密码 层 的 实 
现 能 力 。 在 密码 层 中 ,为 了 支持 公 钥 密码 系统 ,通常 必须 提供 5 种 操作 , 即 生成 密 钥 对 、 加 
密 、 解 密 、 签 名 和 验证 签名 。 

(3) 接口 层 。 

接口 层 的 主要 功能 是 对 各 种 软 硬 件 平台 提供 公 钥 密码 功能 支持 。 其 工作 重点 在 于 对 各 
种 硬件 环境 的 兼容 、 对 各 种 操作 系统 的 兼容 对 各 种 高 级 语言 的 兼容 、 对 多 种 应 用 需求 兼容 。 
其 难点 主要 在 于 保持 良好 的 一 致 性 、 可 移植 性 、 可 重用 性 ,以 有 限 的 资源 换取 应 用 层 尽 可 能 
多 的 自由 空间 。 
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(4) 应 用 层 。 

应 用 层 是 最 终 用 户 所 能 接触 到 的 唯一 层面 , 它 为 用 户 提供 应 用 功能 和 操作 界面 。 应 用 
功能 包括 交易 、 网 络 文件 数据库、 加 解密 签名 及 验证 等 。 操 作 界面 包括 图 形 声音、 指纹 、 
键盘 、 鼠 标 等 。 

ECC 的 实现 效率 一 般 表现 为 ECC 公 钥 密码 功能 的 效率 。 实 现 效率 是 被 多 种 因素 制约 
和 影响 的 。 下 面 列举 了 在 实现 ECC 公 钥 密码 功能 效率 。 实 现 效 率 是 被 多 种 因素 制约 和 影 
响 的 。 下 面 列举 了 在 实现 ECC 的 过 程 中 遇 到 的 涉及 ECC 实现 效率 的 方面 。 

QO@ ECC 密码 机 制 。 众 所 周知 ,任何 密码 理论 都 必须 在 某 种 密码 机 制 上 实现 才能 完成 密 
码 功 能 (如 加 密 、 签 名 等 )。 同 一 种 密码 理论 也 可 以 运用 于 不 同 的 密码 机 制 上 ,而且 它 们 的 实 
现 效率 也 不 尽 相同 。 我 们 在 自行 发 明 的 .拥有 自主 知识 产权 的 密码 机 制 上 实现 ECC ,并 且 
容易 证 明 其 安全 性 不 低 于 其 他 常用 密码 体制 , 且 效 率 更 高 。 

@ 安全 前 脆性 。 由 于 公 钥 系统 的 安全 性 建立 在 数学 的 困难 性 上 ,因此 在 选择 ECC 参 
数 时 ,不 能 一 味 地 追求 速度 快 ,而 是 应 该 在 理论 上 、 实 现 上 都 要 为 安全 性 留 出 一 定 的 余 量 ,以 
保证 在 密码 分 析 技 术 进 步 后 ,不 致 受到 重大 威胁 。ECC 安全 性 的 保障 是 要 通过 降低 一 定 的 

@ 应 用 环境 。 应 用 环境 是 ECC 软 硬 件 实现 的 约束 条 件 。 硬 件 环 境 要 求 空 间 小 、 指 令 
简单 .高 稳定 性 、 低 成 本 ; 软件 环境 要 求 兼容 性 好 、 可 移植 性 好 、 易 于 维护 升级 。 因 此 ,从 高 
端 到 低 端 ,从 高 级 语言 到 汇编 .从 系统 到 门 电路 设计 ,每 个 应 用 环境 对 ECC 实现 所 提供 的 支 
持 和 约 东 都 不 相同 。 所 以 ,ECC 实现 效率 也 依 应 用 环境 而 异 。 

@ 算法 优化 。 算 法 优化 始终 都 是 提高 效率 的 根本 所 在 。 对 ECC 实现 算法 的 优化 主要 
从 这 几 个 方面 人 手 : 对 数学 公式 的 变形 和 组 合 优化 ; 在 软件 实现 中 ,根据 编译 系统 的 特点 、 
CPU 指令 集 的 特点 优化 ; 在 硬件 实现 中 ,根据 硬件 资源 的 具体 特点 优化 。 


二 密码 技术 的 应 用 


网 络 安全 系统 的 一 个 很 重要 方面 是 防止 非法 用 户 对 系统 的 主动 攻击 ,如 伪造 信息 , 算 改 
信息 等 。 这 种 安全 要 求 对 实际 网 络 系统 的 应 用 (如 电子 商务 ) 是 非常 重要 的 。 以 下 介绍 的 鉴 
别 、 数 字 签 名 、 物 联网 认证 与 访问 控制 以 及 公 钥 基础 设施 等 都 是 基于 数据 加 密 的 应 用 技术 。 


3.3.1 鉴别 技术 


1. 基本 概念 


鉴别 (authentication, 也 叫 验证 ) 是 防止 主动 攻击 的 重要 技术 。 鉴 别 的 目的 就 是 验证 用 
户 身份 的 合法 性 和 用 户 间 传 输 信息 的 完整 性 与 真实 性 。 

鉴别 服务 主要 包括 信息 鉴别 和 身份 验证 两 方面 。 信 息 鉴别 和 身份 验证 可 采用 数据 加 密 
技术 ,数字 签名 技术 及 其 他 相关 技术 来 实现 。 

信息 鉴别 是 为 了 确保 数据 的 完整 性 和 真实 性 ,对 信息 的 来 源 、 时 间 性 及 目的 地 进行 验 
证 。 信 息 鉴 别 过 程 通常 涉及 加 密 和 和 密 钥 交 换 。 加 密 可 使 用 对 称 密 钥 加 密 、 非 对 称 密 钥 加 密 
或 两 种 加 密 方式 的 混合 。 信 息 经 验证 后 表明 , 它 在 发 送 期 间 没 有 经 过 算 改 ,发 送 者 经 验证 后 
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表明 ,他 就 是 合法 的 发 送 者 。 

身份 验证 是 验证 进入 网 络 系统 者 是 否 是 合法 用 户 , 以 防 非法 用 户 访问 系统 。 身 份 验证 
的 方式 一 般 有 用 户口 令 验 证 ,摘要 算法 验证 ,基于 PKI( 公 钥 基 础 设施 ) 的 验证 等 。 验 证 、 授 
权 和 访问 控制 都 与 网 络 实体 安全 有 关 。 

网 络 中 的 通信 除 需 要 进行 消息 的 验证 外 ,还 需要 建立 一 些 规范 的 协议 对 数据 来 源 的 可 
靠 性 .通信 实体 的 真实 性 加 以 认证 ,以 防止 欺骗 ,伪装 等 攻击 。 例 如 : A 和 B 是 网 络 的 两 个 
用 户 ,他 们 想 通 过 网 络 先 建立 安全 的 共享 密 钥 再 进行 保密 通信 ,那么 A 如 何 确信 自己 正在 
和 B 通 信 而 不 是 和 C 通信 呢 ? 这 种 通信 方式 为 双向 通信 ,因此 此 时 的 认证 称 为 互相 认证 。 
类 似 地 ,对 于 单 向 通信 来 说 ,认证 称 为 单 向 认证 。 

认证 中 心 (Certificate Authority，CA) 在 网 络 通信 认证 技术 中 具有 特殊 的 地 位 。 例 如 ， 
电子 商务 ,认证 中 心 是 为 了 从 根本 上 保障 电子 商务 交易 活动 顺利 进行 而 设立 的 ,主要 是 解决 
电子 商务 活动 中 参与 各 方 的 身份 资信 的 认定 ,维护 交易 活动 的 安全 。CA 是 提供 身份 验证 
的 第 三 方 机 构 ,通常 由 一 个 或 多 个 用 户 信任 的 组 织 实体 组 成 。 例 如 , 持 卡 人 (客户 ) 要 与 商家 
通信 , 持 卡 人 从 公开 媒体 上 获得 了 商家 的 公开 密 钥 , 但 无 法 确定 商家 不 是 冒充 的 (有 信誉 )， 
于 是 请 求 CA 对 商家 认证 。 此 时 ,CA 对 商家 进行 调查 、 验 证 和 鉴别 后 ,将 包含 商家 公 钥 的 
证 书 传 给 持 卡 人 。 同 样 ,商家 也 可 对 持 卡 人 进行 验证 ,其 过 程 为 持 卡 人 一 商家 ; 持 卡 人 一 
CA; CA 商家。 证书 一 般 包 含 拥有 者 的 标识 名 称 和 公 钥 ,并 且 由 CA 进行 数字 签名 。CA 
的 功能 主要 包括 接收 注册 申请 、 处 理 、 批 准 / 拒 绝 请 求 和 颁发 证 书 。 

在 实际 运作 中 ,CA 也 可 由 大 家 都 信任 的 一 方 担当 ,例如 ,在 客户 、 商 家 、 银 行 三 角 关系 
中 ,客户 使 用 的 是 由 某 个 银行 发 的 卡 ,而 商家 又 与 此 银行 有 业务 关系 (有 账号 )。 在 此 情况 
下 ,客户 和 商家 都 信任 该 银行 ,可 由 该 银行 担当 CA 角色 ,接受 和 处 理 客户 证 书 和 商家 证 书 
的 验证 请 求 。 又 如 ,对 商家 自己 发 行 的 购物 卡 , 则 可 由 商家 自己 担当 CA 角色 。 


2. 信息 的 验证 


从 概念 上 说 ,信息 的 签名 就 是 用 专用 密 钥 对 信息 进行 加 密 , 而 签名 的 验证 就 是 用 相对 应 
的 公用 密 钥 对 信息 进行 解密 。 但 是 ,完全 按照 这 种 方式 行事 也 有 缺点 。 因 为 , 同 普通 密 钥 系 
统 相 比 ,公用 密 钥 系统 的 速度 很 慢 , 用 公用 密 钥 系统 对 长 信息 加 密 来 达到 签名 的 目的 ,并 不 
比 用 公用 密 钥 系统 来 达到 信息 保密 的 目的 更 有 吸引 力 。 

解决 方案 就 是 引入 另 一 种 普通 密码 机 制 , 这 种 密码 机 制 叫 做 信息 摘要 或 散 列 函数 。 信 
息 摘 要 算法 从 任意 大 小 的 信息 中 产生 固定 长 度 的 摘要 ,而 其 特性 是 没有 一 种 已 知 的 方法 能 
找到 两 个 摘要 相同 的 信息 。 这 就 意味 着 ,虽然 摘要 一 般 要 比 信 息 小 得 多 ,但 是 可 以 在 很 多 用 
途 方面 看 作 是 与 完整 信息 等 同 的 。 最 常用 的 信息 摘要 算法 叫做 MD5 ,可 产生 一 个 128 位 长 
的 摘要 。 

使 用 信息 摘要 时 ,对 信息 签名 的 过 程 如 下 : 

(1) 用 户 制 作 信 息 摘要 。 

(2) 信息 摘要 由 发 送 者 的 专用 密 钥 加 密 。 

(3) 原始 信息 和 加 密 信息 摘要 发 送 到 目的 地 。 

(4) 目的 地 接收 信息 ,并 使 用 与 原始 信息 相同 的 信息 摘要 函数 对 信息 制作 其 自己 的 信 
息 摘要 。 
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(5) 目的 地 对 所 收 到 的 信息 摘要 进行 解密 。 

(6) 目的 地 将 制作 的 信息 摘要 同 附 有 信息 的 信息 摘要 进行 对 比 ,如 果 相 吻合 ,目的 地 就 
知道 信息 的 文本 与 用 户 发 送 的 信息 文本 是 相同 的 ,如 果 二 者 不 吻合 , 则 目的 地 知道 原始 信息 
已 经 被 修改 过 。 

这 一 过 程 还 有 另外 一 个 长 处 ,这 个 长 处 可 取 名 为 数字 签名 。 由 于 只 有 用 户 知道 私 用 密 
钥 , 因 而 只 有 用 户 能 够 制作 加 密 的 信息 摘要 。 任 何 一 个 可 以 获取 公用 密 钥 的 目的 地 都 可 邢 
清楚 签名 者 的 身份 。 这 一 技术 可 用 于 最 流行 的 程序 ,用 以 保护 包括 PGP 和 PEM( 保 密 增强 
邮件 ) 在 内 的 电子 邮件 。 


3. 身份 验证 


身份 认证 是 在 计算 机 网 络 中 确认 操作 者 身份 的 过 程 。 身 份 认证 可 分 为 用 户 与 主机 间 的 
认证 和 主机 与 主机 之 间 的 认证 。 用 户 与 主机 之 间 的 认证 可 以 基于 如 下 一 个 或 几 个 因素 : 用 
户 所 知道 的 东西 ,例如 口令 、 密 码 等 ; 用 户 拥有 的 东西 ,例如 印章 ,智能 卡 (如 信用 卡 等 ); 用 
户 所 具有 的 生物 特征 ,例如 指纹 、 声 音 、 视 网 膜 ,签字 和 笔迹 等 。 

计算 机 网 络 世 界 中 一 切 信息 包括 用 户 的 身份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 , 计 
算 机 只 能 识别 用 户 的 数字 身份 ,所 有 对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 如 何 保 
证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 合法 拥有 者 ,也 就 是 说 保证 操作 者 的 物 
理 身份 与 数字 身份 相对 应 ,身份 认证 就 是 为 了 解决 这 个 问题 。 作 为 防护 网 络 资产 的 第 一 道 
关口 ,身份 认证 有 着 举足轻重 的 作用 。 

在 真实 世界 ,对 用 户 的 身份 认证 基本 方法 可 以 分 为 三 种 : 

(1) 根据 你 所 知道 的 信息 来 证 明 你 的 身份 (what you know ,你 知道 什么 ); 

(2) 根据 你 所 拥有 的 东西 来 证 明 你 的 身份 (what you have, 你 有 什么 ); 

(3) 直接 根据 独一无二 的 身份 特征 来 证 明 你 的 身份 (who you are, 你 是 谁 ), 如 指纹 、 面 
貌 等 ; 

在 网 络 世 界 中 的 手段 与 真实 世界 中 一 致 ,为 了 达到 更 高 的 身份 认证 安全 性 , 某 些 场景 会 
将 上 面 三 种 认证 方法 中 的 两 种 混合 使 用 , 即 所 谓 的 双 因 素 认 证 。 

进入 电子 信息 社会 ,虽然 有 不 少 学 者 试图 使 用 电子 化 生物 唯一 识别 信息 ,但 是 出 于 其 代 
价 高 .准确 性 低 .存储 空间 大 和 传输 速率 低 ,不 适合 计算 机 读 取 和 判断 ,只 能 作为 辅助 措施 应 
用 。 而 使 用 密码 技术 ,特别 是 公 钥 密码 技术 ,能 够 设计 出 安全 性 高 的 识别 协议 ,受到 人 们 的 
青睐 。 

过 去 人 们 采用 通行 字 作 为 用 户 身 份 识别 ,通行 字 短 、 固 定 ,规律 性 强 、 易 暴露 安全 性 差 。 
现在 采用 密码 技术 进行 交互 式 询 答 ,只 有 拥有 正确 密码 的 合法 用 户 才 能 通过 询 答 。 目 前 已 
经 用 于 身份 认证 的 IC 卡 、 数 字 证 书 一 次 性 口令 等 ,它们 都 采用 了 密码 技术 。 


3.3.2 数字 签名 技术 


1. 基本 概念 


数字 签名 ,又 称 为 公 钥 数字 签名 、 电 子 签 章 , 是 只 有 信息 的 发 送 者 才能 产生 的 别人 无 法 
伪造 的 一 段 数字 串 ,这 段 数字 串 同 时 也 是 对 信息 的 发 送 者 发 送信 息 真 实 性 的 一 个 有 效 证 明 。 
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数字 签名 是 一 种 类 似 写 在 纸 上 的 普通 的 物理 签名 ,但 是 使 用 了 公 钥 加 密 领 域 的 技术 实现 ,用 
于 鉴别 数字 信息 的 方法 。 

目前 的 数字 签名 大 多 是 建立 在 公开 密 钥 体 制 基 础 上 的 ,这 是 公开 密 钥 加 密 技 术 的 另 一 
种 重要 应 用 ,如 基于 RSA 的 公开 密 钥 加 密 标准 PKCS 数字 签名 算法 DSA、PGP 加 密 软件 
等 。1994 年 美国 标准 与 技术 协会 公布 了 数字 签名 标准 ,从 而 使 公 钥 加 密 技 术 得 到 了 广泛 应 
用 。 目 前 ,广泛 应 用 的 数字 签名 算法 主要 有 三 种 , 即 RSA 签名 .DSS( 数 字 签 名 标准 ) 签 名 和 
Hash 签名 。 这 三 种 算法 可 单独 使 用 ,也 可 综合 在 一 起 使 用 。 数 字 签 名 是 通过 密码 算法 对 
数据 进行 加 密 /解密 变换 实现 的 ,用 DES 算法 .RSA 算法 都 可 实现 数字 签名 。 

用 RSA 或 其 他 公开 密 钥 密码 算法 的 最 大 方便 是 没有 密 钥 分 配 问 题 (网 络 越 复杂 、 网 络 
用 户 越 多 ,其 优点 越 明显 )。 因 为 公开 密 钥 加 密使 用 两 个 不 同 的 密 钥 ,其 中 有 一 个 是 公开 的 ， 
另 一 个 是 保密 的 ( 私 钥 )。 公 开 密 钥 可 以 保存 在 系统 目录 内 、 未 加 密 的 电子 邮件 中 、 电 话 号 码 
簿 或 公告 牌 里 ,网 上 的 任何 用 户 都 可 获得 公开 密 钥 。 而 私有 密 钥 是 用 户 专 用 的 ,由 用 户 本 身 
持 有 , 它 可 以 对 由 公开 密 钥 加 密 的 信息 进行 解密 。 

一 套数 字 签 名 通常 定义 两 种 互补 的 运算 ,一 个 用 于 签名 , 另 一 个 用 于 验证 。 数 字 签 名 是 
非 对 称 密 钥 加 密 技术 与 数字 摘要 技术 的 应 用 ,其 机 制 需 要 实现 以 下 几 个 目的 ， 

(1) 消息 源 认证 : 消息 的 接受 者 通过 签名 可 以 确信 消息 确实 来 自 声明 的 发 送 者 。 

(2) 不 可 伪造 : 签名 应 是 独一无二 的 ,其 他 人 无 法 假冒 和 伪造 。 

(3) 不 可 重用 : 签名 是 消息 的 一 部 分 ,不 能 被 挪用 到 其 他 的 文件 上 。 

(4) 不 可 抵赖 : 签名 者 事后 不 能 否认 自己 签 过 的 文件 。 

DSS 数字 签名 是 由 美国 国家 标准 化 研究 院 和 国家 安全 局 共同 开发 的 。 由 于 DSS 是 由 
美国 政府 颁布 实施 的 ,只 是 一 个 签名 系统 ,而且 美国 政府 不 提倡 使 用 任何 削弱 政府 窃听 能 力 
的 加 密 软 件 , 认 为 这 才 符 合 美国 的 国家 利益 ,因此 ,DSS 主要 用 于 与 美国 政府 做 生意 的 公 
司 ,其 他 公司 则 较 少 使 用 。 


2. 单 向 散 列 函数 


单 向 散 列 函数 ,又 称 为 单 向 Hash 函数 、 杂 次 函数 ,就 是 把 任意 长 的 输入 消息 串 变 化 成 
固定 长 的 输出 串 且 由 输出 串 难 以 得 到 输入 串 的 一 种 函数 。 这 个 输出 串 称 为 该 消息 的 散 列 
值 。 一 般 用 于 产生 消息 摘要 , 密 钥 加 密 等 。 

1) 一 个 安全 的 单 向 散 列 函 数 应 该 满足 的 几 个 条 件 

(1) 输入 长 度 是 任意 的 ; 

(2) 输出 长 度 是 固定 的 ,根据 目前 的 计算 技术 应 至 少 取 128bits 长 ,以便 抵 抗 攻 击 ; 

(3) 对 每 一 个 给 定 的 输入 ,计算 输出 即 散 列 值 是 很 容易 的 ; 

(4) 给 定 散 列 函数 的 描述 ,找到 两 个 不 同 的 输入 消息 杂凑 到 同一 个 值 是 计算 上 不 可 行 
的 ,或 给 定 杂 凑 函 数 的 描述 和 一 个 随机 选择 的 消息 ,找到 另 一 个 与 该 消息 不 同 的 消息 使 得 它 
们 杂凑 到 同一 个 值 是 计算 上 不 可 行 的 。 

2) 常见 单 向 散 列 函数 (Hash 函数 ) 

(1) MD5(Message Digest Algorithm 5): 是 RSA 数据 安全 公司 开发 的 一 种 单 向 散 列 
算法 ,MD5 被 广泛 使 用 ,可 以 用 来 把 不 同 长 度 的 数据 块 进行 暗 码 运算 成 一 个 128 位 的 数据 。 

(2) SHA(Secure Hash Algorithm) 这 是 一 种 较 新 的 散 列 算法 ,可 以 对 任意 长 度 的 数据 
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运算 生成 一 个 160 位 的 数据 。 

(3) MAC(Message Authentication Code) : 消息 认证 代码 ,是 一 种 使 用 密 钥 的 单 向 函 
数 ,可 以 用 它们 在 系统 上 或 用 户 之 间 认 证 文件 或 消息 。HMAC( 用 于 消息 认证 的 密 钥 散 列 
法 ) 就 是 这 种 函数 的 一 个 例子 。 

(4) CRC(Cyclic Redundancy Check) : 循环 宛 余 校 验 码 ,CRC 校 验 由 于 实现 简单 , 检 错 
能 力 强 ,被 广泛 使 用 在 各 种 数据 校 验 应 用 中 。 占 用 系统 资源 少 , 用 软 硬 件 均 能 实现 ,是 进行 
数据 传输 差错 检测 的 一 种 很 好 的 手段 (CRC 并 不 是 严格 意义 上 的 散 列 算法 ,但 它 的 作用 与 
散 列 算法 大 致 相同 ,所 以 也 归 和 此 类 ) 。 


3. 数字 签名 过 程 


数字 签名 技术 是 将 摘要 信息 用 发 送 者 的 私 钥 加 密 , 与 原文 一 起 传送 给 接受 者 。 接 受 者 
只 有 用 发 送 者 的 公 钥 才能 解密 被 加 密 的 摘要 信息 ,然后 用 HASH 函数 对 收 到 的 原文 产生 一 
个 摘要 信息 ,与 解密 的 摘要 信息 对 比 。 如 果 相 同 , 则 说 明 收 到 的 信息 是 完整 的 ,在 传输 过 程 
中 没有 被 修改 ,否则 说 明 信 息 被 修改 过 ,因此 数字 签名 能 够 验证 信息 的 完整 性 。 

发 送 报 文 时 ,发 送 方 用 一 个 哈 希 函数 从 报 文 文本 中 生成 报 文摘 要 ,然后 用 自己 的 私人 密 
钥 对 这 个 摘要 进行 加 密 , 这 个 加 密 后 的 摘要 将 作为 报 文 的 数字 签名 和 报 文 一 起 发 送 给 接收 
方 , 接 受 方 首先 用 与 发 送 方 一 样 的 哈 希 函数 从 接收 到 的 原始 报 文中 计算 出 报 文摘 要 ,然后 再 
用 发 送 方 的 公用 密 钥 来 对 报 文 附加 的 数字 签名 进行 解密 ,如 果 这 两 个 摘要 相同 ,那么 接收 方 
就 能 确认 该 数字 签名 是 发 送 方 的 ,如 图 3-9 所 示 。 


文档 摘要 10111000010 -用 私 钥 加 窗 | 10111000010 
发 送 方 签名 签名 后 的 报 文 
= 一 一 一 一 一 一 一 一 一 一 一 一 一 | 文档 = 一 一 一 一 一 一 一 一 一 一 - 
接收 方 签名 10111000010 
摘要 用 公 钥 解密 
10111000010 2 10111000010 
图 3-9 数字 签名 


数字 签名 有 两 方面 的 作用 : 一 是 能 确定 消息 确实 是 由 发 送 方 签名 并 发 出 来 的 ,因为 别 
人 假冒 不 了 发 送 方 的 签名 ; 二 是 数字 签名 能 确定 消息 的 完整 性 。 因 为 数字 签名 的 特点 是 它 
代表 了 文件 的 特征 ,文件 如 果 发 生 改变 ,数字 签名 的 值 也 将 发 生变 化 。 不 同 的 文件 将 得 到 不 
同 的 数字 签名 。 一 次 数字 签名 涉及 一 个 哈 希 函数 、 发 送 者 的 公 钥 发 送 者 的 私 钥 。 
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4. 数字 签名 的 原理 特点 


每 个 人 都 有 两 条 “钥匙 (数字 身份 ) ,其 中 一 条 钥匙 只 有 她 /他 本 人 知道 ( 密 钥 ), 另 一 条 
钥匙 是 公开 的 ( 公 钥 )。 签 名 的 时 候 用 密 钥 ,验证 签名 的 时 候 用 公 钥 。 又 因为 任何 人 都 可 以 
落款 声称 她 /他 就 是 你 ,所 以 公 钥 必须 由 接受 者 信任 的 人 (身份 认证 机 构 ) 来 注册 。 注 册 后 身 
份 认 证 机 构 给 用 户 发 一 个 数字 证 书 。 对 文件 签名 后 ,把 此 数字 证 书 连 同文 件 及 签名 一 起 发 
给 接受 者 ,接受 者 向 身份 认证 机 构 求证 是 否 真 的 是 用 你 的 密 钥 签发 的 文件 。 

在 通信 中 使 用 数字 签名 一 般 基 于 以 下 原因 

1) 鉴 权 

公 钥 加 密 系统 允许 任何 人 在 发 送信 息 时 使 用 公 钥 进行 加 密 , 数 字 签名 能 够 让 信息 接收 
者 确认 发 送 者 的 身份 。 当 然 , 接 收 者 不 可 能 百分之百 确信 发 送 者 的 真实 身份 ,而 只 能 在 密码 
系统 未 被 破译 的 情况 下 才能 有 理由 确信 。 

鉴 权 的 重要 性 在 财务 数据 上 表现 得 尤为 突出 。 举 个 例子 ,假设 一 家 银行 将 指令 由 它 的 
分 行 传输 到 它 的 中 央 管 理 系统 ,指令 格式 是 (a,b) ,其 中 a 是 账户 的 账号 ,而 b 是 账户 的 现 有 
金额 。 这 时 一 位 远程 客户 可 以 先 存 人 100 元 ,观察 传输 的 结果 ,然后 接二连三 地 发 送 格 式 为 
(a,b) 的 指令 。 这 种 方法 被 称 作 重 放 攻 击 。 

2) 完整 性 

传输 数据 的 双方 都 希望 确认 消息 未 在 传输 的 过 程 中 被 修改 。 加 密使 得 第 三 方 想 要 读 取 
数据 十 分 困难 ,然而 第 三 方 仍然 能 采取 可 行 的 方法 在 传输 的 过 程 中 修改 数据 。 一 个 通俗 的 
例子 就 是 同形 攻击 : 回想 一 下 ,还 是 上 面 的 那 家 银行 从 它 的 分 行 向 它 的 中 央 管 理 系 统 发 送 
格式 为 (a,b) 的 指令 ,一 个 远程 客户 可 以 现存 100 元 ,然后 拦截 传输 结果 ,再 传输 (a,b3) ,这 
样 他 就 立刻 变 成 百 万 富翁 了 。 

3) 不 可 抵赖 

在 密 文 背景 下 ,抵赖 这 个 词 指 的 是 不 承认 与 消息 有 关 的 举动 ( 即 声称 消息 来 自 第 三 方 ) 。 
消息 的 接受 方 可 以 通过 数字 签名 来 防止 所 有 后 续 的 抵赖 行为 ,因为 接收 方 可 以 出 示 签 名 给 
别人 看 来 证 明 信 息 的 来 源 。 


5. 数字 签名 与 信息 加 密 的 区 别 


数字 签名 使 用 的 是 发 送 方 的 密 钥 对 ,是 发 送 方 用 自己 的 私 钥 对 摘要 进行 加 密 , 接 收 方 用 
发 送 方 的 公 钥 对 数字 签名 解密 ,是 一 对 多 的 关系 ,表明 发 送 方 公司 的 任何 一 个 贸易 伙伴 都 可 
以 验证 数字 签名 的 真 伪 性 ; 

密 钥 加 密 解 密 过 程 使 用 的 是 接收 方 的 密 钥 对 ,是 发 送 方 用 接收 方 的 公 钥 加 密 ,接收 方 用 
自己 的 私 钥 解密 ,是 多 对 一 的 关系 ,表明 任何 拥有 该 公司 公 钥 的 人 都 可 以 向 该 公司 发 送 密 
文 ,但 只 有 该 公司 才能 解密 ,其 他 人 不 能 解密 。 


3.3.3 物 联 网 认证 与 访问 控制 


认证 指使 用 者 采用 某 种 方式 来 证 明 自己 确实 是 自己 宣称 的 某 人 ,网 络 中 的 认证 主要 包 
括 身份 认证 和 消息 认证 。 身 份 认证 可 以 使 通信 双方 确信 对 方 的 身份 后 交换 会 话 密 钥 ,消息 
认证 主要 是 接收 方 希望 能 够 保证 其 接收 的 消息 确实 来 自 真正 的 发 送 方 。 
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在 物 联网 的 认证 过 程 中 ,传感器 网 络 的 认证 机 制 是 重要 的 研究 部 分 ,无 线 传感器 网 络 中 
的 认证 技术 主要 包括 基于 轻 量 级 公 钥 的 认证 技术 、 预 共享 密 钥 的 认证 技术 、 随 机 密 钥 预 分 布 
的 认证 技术 、 利 用 辅助 信息 的 认证 和 基于 单 向 散 列 函数 的 认证 等 。 

访问 控制 是 对 用 户 合 法 使 用 资源 的 认证 和 控制 ,目前 信息 系统 的 访问 控制 主要 是 基于 
角色 的 访问 控制 机 制 (Role-Based Access Control, RBAC) 及 其 扩展 模型 。RBAC 机 制 主要 
由 Sandhu 于 1996 年 提出 的 基本 模型 BRAC96 构成 ,一 个 用 户 先 由 系统 分 配 一 个 角色 ,如 
管理 员 或 普通 用 户 等 ,登录 系统 后 ,根据 用 户 的 角色 所 设置 的 访问 策略 实现 对 资源 的 访问 。 
显然 ,同样 的 角色 可 以 访问 控制 方法 ,是 基于 用 户 的 访问 控制 。 

对 物 联网 而 言 ,末端 是 感知 网 络 ,可 能 是 一 个 感知 结 点 或 一 个 物体 ,采用 用 户 角色 的 形 
式 进 行 资源 的 控制 显得 不 够 灵活 ,主要 表现 在 以 下 3 点 : 

(1) 基于 角色 的 访问 控制 在 分 布 式 的 网 络 环境 中 已 呈现 出 不 相 适 应 的 地 方 , 如 对 具有 
时 间 约 束 资源 的 访问 控制 ,访问 控制 的 多 层次 适应 性 等 方面 需要 进一步 探讨 。 

(2) 结 点 不 是 用 户 ,而 是 各 类 传感器 或 其 他 设备 , 且 种 类 繁多 ,基于 角色 的 访问 控制 机 
制 中 角色 类 型 无 法 一 一 对 应 这 些 结 点 ,因此 ,使 RBAC 机 制 难以 实现 。 

(3) 物 联 网 主要 是 信息 的 感知 互动 过 程 ,包含 了 信息 的 处 理 、 决 策 和 控制 等 过 程 ,特别 
是 反 向 控制 是 物 物 相 连 的 特征 之 一 ,资源 的 访问 呈现 动态 性 和 多 层次 性 ,而 RBAC 机 制 中 
一 旦 用 户 被 指定 为 某 种 角色 ,他 的 可 访问 资源 就 相对 固定 了 ,所 以 ,寻求 新 的 访问 控制 机 制 
是 物 联网 ,也 是 互联 网 值得 研究 的 问题 。 

基于 属性 的 访问 控制 (Attribute-Based Access Control, ABAC) 是 近 几 年 研究 的 热点 ， 
如 果 将 角色 映射 成 用 户 的 属性 ,可 以 构成 ABAC 与 RBAC 的 对 等 关系 ,而 属性 的 增加 相对 
简单 ,同时 基于 属性 的 加 密 算 法 可 以 使 ABAC 得 以 实现 。ABAC 方法 的 问题 是 对 较 少 的 属 
性 来 说 ,加 密 解密 的 效率 较 高 ,但 随 着 属性 数量 的 增加 ,加 密 的 密 文 长 度 增加 ,使 算法 的 实用 
性 受到 限制 ,目前 有 两 个 发 展 方向 : 基于 密 钥 策略 和 基于 密 文 策略 ,其 目标 就 是 改善 基于 属 
性 的 加 密 算法 的 性 能 。 


3.3.4 公 钥 基础 设施 一 一 PKI 
1. PKI 概述 


公 钥 基础 设施 (Public Key Infrastructure,PKD) 是 一 种 遵循 既定 标准 的 密 钥 管理 平台 ， 
它 能 够 为 所 有 网 络 应 用 提供 加 密 和 数字 签名 等 密码 服务 及 所 必需 的 密 钥 和 证 书 管理 体系 ， 
简单 来 说 ,PKI 就 是 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。PKI 技术 是 信 
息 安 全 技术 的 核心 ,也 是 电子 商务 的 关键 和 基础 技术 。 

PKI 的 基础 技术 包括 加 密 、 数 字 签 名 数据 完整 性 机 制 、. 数 字 信 封 和 双重 数字 签名 等 。 
PKI 是 指 用 公 钥 概念 和 技术 来 实施 和 提供 安全 服务 的 具有 普 适 性 的 安全 基础 设施 , 指 任 何 
以 公 钥 技术 为 基础 的 安全 基础 设施 都 是 PKI, 若 没有 好 的 非 对 称 算法 和 好 的 密 钥 管理 就 不 
可 能 提供 完善 的 安全 服务 ,不 能 称 为 PKI, 即 该 定义 中 已 经 隐 含 了 必须 具有 的 密 钥 管 理 
功能 。 

X. 509 标准 中 ,为 了 区 别 于 权限 管理 基础 设施 (Privilege Management Infrastructure， 
PMD) ,将 PKI 定 义 为 支持 公开 密 钥 管理 并 能 支持 认证 、 加 密 、 完 整 性 和 可 追究 性 服务 的 基 
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础 设施 。 这 个 概念 与 第 一 个 概念 相 比 ,不 仅仅 叙述 PKI 能 提供 的 安全 服务 ,更 强调 PKI 必 
须 支持 公开 密 钥 的 管理 。 也 就 是 说 ,仅仅 使 用 公 钥 技术 还 能 叫做 PKI, 还 应 该 提供 公开 密 钥 
的 管理 。 因 为 PMI 仅仅 使 用 公 钥 技术 但 并 不 管理 公开 密 钥 ,所 以 PMI 就 可 以 单独 进行 描 
述 ,而 不 至 于 跟 公 钥 证 书 等 概念 混 清 。 

美国 国家 审计 总 署 在 2001 年 和 2003 年 的 报告 中 都 把 PKI 定义 为 由 硬件 软件、 策略 
和 人 构成 的 系统 , 当 完善 实施 后 ,能 够 为 敏感 通信 和 交易 提供 一 套 信 息 安全 保障 ,包括 保密 
人 性、 完整 性 真实 性 和 不 可 和 否认。 


2. 基本 组 成 


完整 的 PKI 系统 必须 具有 权威 认证 机 构 (CA) 数字 证 书库 、 密 钥 备份 及 恢复 系统 、 证 
书 作 废 系统 .应 用 接口 (API) 等 基本 构成 部 分 ,构建 PKI 也 将 围绕 着 这 5 大 系统 来 构建 。 
PKI 技术 是 信息 安全 技术 的 核心 ,也 是 电子 商务 的 关键 和 基础 技术 。PKI 的 基础 技术 包括 
加 密 数字 签 名 数据 完整 性 机 制 .数字 信封 和 双重 数字 签名 等 。 

(1) 认证 机 构 (CA)。 即 数字 证 书 的 申请 签发 机 关 ,CA 必须 具备 权威 性 的 特征 。 

(2) 数字 证 书库 。 用 于 存储 已 签发 的 数字 证 书 及 公 钥 ,用 户 可 由 此 获得 所 需 的 其 他 用 
户 的 证 书 及 公 

(3) 密 钥 备份 及 恢复 系统 。 如 果 用 户 丢 失 了 用 于 解密 数据 的 密 钥 , 则 数据 将 无 法 解密 ， 
这 将 造成 合法 数据 丢失 。 为 避免 这 种 情况 ,PKI 提供 备份 与 恢复 密 钥 的 机 制 。 但 需 注 意 , 密 
钥 的 备份 与 恢复 必须 由 可 信 的 机 构 来 完成 ,并 且 , 密 钥 备 份 与 恢复 只 能 针对 解密 密 钥 ,签名 
私 钥 为 确保 其 唯一 性 而 不 能 够 作 备份 。 

(4) 证 书 作废 系统 。 证 书 作 上 废 处 理 系统 是 PKI 的 一 个 必 备 的 组 件 。 与 日 常生 活 中 的 各 
种 身份 证 件 一 样 , 当 密 钥 介质 丢失 或 用 户 身份 变更 等 时 ,证 书 有 效 期 内 也 可 能 作废 , 即 PKI 
必须 提供 作废 证 书 的 一 系列 机 制 。 

(5) 应 用 接口 (API) 。PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签名 等 安全 服 
务 ,因此 一 个 完整 的 PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 
一 致 .可 信和 的 方式 与 PKI 交互 ,确保 安全 网 络 环境 的 完整 性 和 易 用 性 。 

通常 来 说 ,CA 是 证 书 的 签发 机 构 , 它 是 PKI 的 核心 。 众 所 周知 ,构建 密码 服务 系统 的 
核心 内 容 是 如 何 实现 密 钥 管理 。 公 钥 体 制 涉及 一 对 密 钥 ( 即 私 钥 和 公 钥 ), 私 钥 只 由 用 户 独 
立 掌 握 ,无 须 在 网 上 传输 ,而 公 钥 则 是 公开 的 ,需要 在 网 上 传送 , 故 公 钥 体 制 的 密 钥 管理 主要 
是 针对 公 钥 的 管理 问题 ,目前 较 好 的 解决 方案 是 数字 证 书 机 制 。 


3. 目标 


PKI 是 一 种 基础 设施 ,其 目标 就 是 要 充分 利用 公 钥 密码 学 的 理论 基础 ,建立 起 一 种 普遍 
适用 的 基础 设施 ,为 各 种 网 络 应 用 提供 全 面 的 安全 服务 。 公 开 密 钥 密 码 为 我 们 提供 了 一 种 
非 对 称 性 质 ,使 得 安全 的 数字 签名 和 开放 的 签名 验证 成 为 可 能 。 而 这 种 优秀 技术 的 使 用 却 
面临 着 理解 困难 、 实 施 难 度 大 等 问题 。 正 如 让 电视 机 的 开发 者 理解 和 维护 发 电厂 有 一 定 的 
难度 一 样 ,要 让 每 一 个 应 用 程序 的 开发 者 完全 正确 地 理解 和 实施 基于 公开 密 钥 密码 的 安全 
有 一 定 的 难度 。PKI 希望 通过 一 种 专业 的 基础 设施 的 开发 ,让 网 络 应 用 系统 的 开发 人 员 从 
烦琐 的 密码 技术 中 解脱 出 来 ,而 同时 享有 完善 的 安全 服务 。 
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将 PKI 在 网 络 信息 空间 的 地 位 与 电力 基础 设施 在 工业 生活 中 的 地 位 进行 类 比 可 以 更 
好 地 理解 PKI。 电 力 基础 设施 通过 伸 到 用 户 的 标准 插座 为 用 户 提供 能 源 , 而 PKI 通过 延伸 
用 户 本 地 的 接口 为 各 种 应 用 提供 安全 的 服务 。 有 了 PKI, 安 全 应 用 程序 的 开发 者 可 以 不 用 
再 关心 那些 复杂 的 数学 运算 和 模型 ,而 直接 按照 标准 使 用 一 种 插座 (接口 )。 正 如 电 冰 箱 的 
开发 者 不 用 关心 发 电机 的 原理 和 构造 一 样 ,只 要 开发 出 符合 电力 基础 设施 接口 标准 的 应 用 
设备 ,就 可 以 享受 基础 设施 提供 的 能 源 。 

PKI 与 应 用 的 分 离 也 是 PKI 作为 基础 设施 的 重要 标志 。 正 如 电力 基础 设施 与 电器 的 
分 离 一 样 ,网 络 应 用 与 安全 基础 实现 了 分 离 有 利于 网 络 应 用 更 快 地 发 展 ,也 有 利于 安全 基 
础 设施 更 好 地 建设 。 正 是 由 于 PKI 与 其 他 应 用 能 够 很 好 地 分 离 , 才 使 得 我 们 能 够 将 之 称 为 
基础 设施 ,PKI 也 才能 从 千差万别 的 安全 应 用 中 独立 出 来 ,才能 有 效 地 、 独 立地 发 展 壮 大 。 
PKI 与 网 络 应 用 的 分 离 实际 上 就 是 网 络 社 会 的 一 次 “社会 分 工 ”, 这 种 分 工 可 能 会 成 为 网 络 
应 用 发 展 史 上 的 重要 里 程 碑 。 


4. 内 容 


PKI 在 公开 密 钥 密码 的 基础 上 ,主要 解决 密 钥 属于 谁 , 即 密 钥 认 证 的 问题 。 通 过 数字 证 
节 ,PKI 很 好 地 证 明了 公 钥 是 谁 的 ,PKI 的 核心 技术 就 围绕 着 数字 证 书 的 申请 、 颁 发 ,使 用 与 
撤销 等 整个 生命 周期 展开 ,其 中 ,证 书 撤销 是 PKI 中 最 容易 被 忽视 ,但 却 是 很 关键 的 技术 之 
一 ,也 是 基础 设施 必须 提供 的 一 项 服务 。 

PKI 技术 的 研究 对 象 包括 数字 证 书 ,数字 证 书 认证 中 心 ,证 书 持 有 者 和 证 书 用户 , 以 及 
为 了 更 好 地 成 为 基础 设施 而 必须 具备 的 证 书 注册 机 构 ,证 书 存储 和 查询 服务 器 \ 证 书 状态 查 
询 服 务 器 、 证 书 验证 服务 器 等 。 

PKI 作为 基础 设施 ,两 个 或 多 个 PKI 管理 域 的 互 连 就 非常 重要 。PKI 域 间 如 何 互 联 ， 
如 何 更 好 地 互联 就 是 建设 一 个 无 缝 的 大 范围 的 网 络 应 用 的 关键 。 在 PKI 互 连 过 程 中 ,PKI 
关键 设备 之 间 ,PKI 末端 用 户 之 间 , 网 络 应 用 与 PKI 系统 之 间 的 互 操作 与 接口 技术 就 是 
PKI 发 展 的 重要 保证 ,也 是 PKI 技术 的 研究 重点 。 


5. 优势 


PKI 作为 一 种 安全 技术 ,已 经 深入 到 网 络 的 各 个 层面 。 这 从 一 个 侧面 反映 了 PKI 强大 
的 生命 力 和 无 与 伦比 的 技术 优势 。PKI 的 灵魂 来 源 于 公 钥 密码 技术 ,这 种 技术 使 得 “ 知 其 然 
不 知 其 所 以 然 ?成 为 一 种 可 以 证 明 的 状态 ,使 得 网 络 上 的 数字 签名 有 了 理论 上 的 安全 保障 。 
围绕 着 如 何 用 好 这 种 非 对 称 密码 技术 ,数字 证 书 破 壳 而 出 ,并 成 为 PKI 中 最 为 核心 的 元 素 。 

PKI 的 优势 主要 表现 在 : 

(1) 采用 公开 密 钥 密码 技术 ,能 够 支持 可 公开 验证 并 无 法 仿冒 的 数字 签名 ,从 而 在 支持 
可 追究 的 服务 上 具有 不 可 蔡 代 的 优势 。 这 种 可 追究 的 服务 也 为 原 发 数据 完整 性 提供 了 更 高 
级 别 的 担保 。 支 持 可 以 公开 地 进行 验证 ,或 者 说 任意 的 第 三 方 可 验证 ,能 更 好 地 保护 弱势 个 
体 ,完善 平等 的 网 络 系统 间 的 信息 和 操作 的 可 追究 性 。 

(2) 由 于 密码 技术 的 采用 ,保护 机 密 性 是 PKI 最 得 天 独 厚 的 优点 。PKI 不 仅 能 够 为 相 
互 认识 的 实体 之 间 提 供 机 密 性 服务 ,同时 也 可 以 为 陌生 的 用 户 之 间 的 通信 提供 保密 支持 。 

(3) 由 于 数字 证 书 可 以 由 用 户 独 立 验 证 ,不 需要 在 线 查 询 , 原 理 上 能 够 保证 服务 范围 的 


第 3 章 ”信息 安全 技术 基础 


无 限制 扩张 ,这 使 得 PKI 能 够 成 为 一 种 服务 巨大 用 户 群 的 基础 设施 。PKI 采用 数字 证 书 方 
式 进行 服务 , 即 通过 第 三 方 颁发 的 数字 证 书证 明 末 端 实体 的 密 钥 ,而 不 是 在 线 查询 或 在 线 分 
发 。 这 种 密 钥 管理 方式 突破 了 过 去 安全 验证 服务 必须 在 线 的 限制 。 

(4) PKI 提供 了 证 书 的 撤销 机 制 , 从 而 使 得 其 应 用 领域 不 受 具体 应 用 的 限制 ,撤销 机 制 
提供 了 在 意外 情况 下 的 补救 措施 ,在 各 种 安全 环境 下 都 可 以 让 用 户 更 加 放心 。 另 外 ,因为 有 
撤销 技术 ,不论 是 永远 不 变 的 身份 ,还 是 经 常 变 换 的 角色 ,都 可 以 得 到 PKI 的 服务 而 不 用 担 
心 被 窃 后 身份 或 角色 被 永远 作废 或 被 他 人 恶意 次 用 。 为 用 户 提供 “改正 错误 "或 “后 悔 ”的 途 
径 是 良好 工程 设计 中 必须 的 一 环 。 

(5) PKI 具有 极 强 的 互联 能 力 。 不 论 是 上 下 级 的 领导 关系 ,还 是 平等 的 第 三 方 信任 关 
系 ,PKI 都 能 够 按照 人 类 世界 的 信任 方式 进行 多 种 形式 的 互联 互通 ,从 而 使 PKI 能 够 很 好 
地 服务 于 符合 人 类 习惯 的 大 型 网 络 信息 系统 。PKI 中 各 种 互联 技术 的 结合 使 建设 一 个 复杂 
的 网 络 信任 体系 成 为 可 能 。PKI 的 互联 技术 为 消除 网 络 世界 的 信任 孤岛 提供 了 充足 的 技术 
保障 。 


人 .4 常用 安全 协议 


3.4.1 Kerberos 协议 


Kerberos 协议 是 一 种 网 络 认证 的 协议 ,其 工作 的 原理 是 通过 密 钥 ,对 客户 端 或 者 服务 
器 提供 一 个 认证 服务 ,与 传统 的 认证 协议 相 比 ,Kerberos 协议 不 需要 物理 安全 ,只 要 通过 认 
证 ,就 可 以 随意 的 读 取 和 修改 数据 库 。 因 此 ,这 种 协议 被 广泛 地 应 用 在 第 三 方 认 证 服务 领 
域 ,该 协议 在 TCP/IP 协议 栈 中 ,处 于 UDP 和 TCP 的 上 层 ,与 HTTP 处 于 同一 个 级 别 。 在 
具体 认证 的 过 程 中 ,采用 数据 加 密 算法 进行 认证 ,用 户 机 首先 要 发 出 相应 的 请 求 , 然 后 安装 
服务 器 的 证 书 文件 ,服务 器 如 果 能 够 读 取 正 确 的 用 户 密 钥 ,那么 就 可 以 通过 相应 的 认证 ,这 
个 证 书 文件 还 可 以 为 经 过 认证 后 的 通信 进行 加 密 ,保证 通信 内 容 的 安全 。 目 前 ,很 多 服务 器 
都 采用 这 个 协议 进行 加 密 , 以 此 来 保证 网 络 的 安全 ,尤其 是 一 些 含 有 重要 内 容 的 通信 ,以 及 
需要 相应 的 身份 才能 访问 数据 的 系统 ,Kerberos 协议 可 以 很 好 地 防止 连接 和 窃听 ,虽然 该 
协议 的 安全 性 较 高 ,可 以 为 不 同 的 服务 提供 单独 的 认证 ,但 这 种 认证 体系 不 会 验证 物理 地 
址 ,因此 无 法 检验 用 户 的 真实 性 ,如 果 密 钥 的 数量 过 多 ,那么 对 认证 服务 器 的 性 能 ,会 有 很 高 
的 要 求 。 


3.4.2 SET 协议 


SET 是 Secure Electronic Transaction 的 缩写 ,中 文 名 为 安全 电子 交易 协议 ,该 协议 是 
随 着 电子 支付 的 普及 应 用 ,逐渐 产生 的 一 种 安全 协议 ,由 于 其 可 以 很 好 地 处 理 用 户 .商户 和 
银行 之 间 的 关系 ,在 B2C 等 网 站 上 得 到 了 广泛 的 应 用 ,经 过 了 多 年 的 使 用 ,已 经 成 为 了 信用 
卡 网 上 交易 的 国际 标准 。 在 TCP/IP 协议 栈 中 ,SET 协议 处 于 HTTP 的 上 层 , 在 实际 的 网 
上 交易 中 ,由 于 用 户 与 商家 都 是 经 过 网 络 沟通 ,具有 一 定 的 虚拟 性 ,在 用 户 确定 订单 之 后 , 商 
家 希望 用 户 可 以 填写 更 多 真实 的 信息 ,而 用 户 则 希望 一 些 私密 的 账户 信息 等 可 以 保密 ,但 是 
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由 于 双方 不 够 了 解 , 经 常会 出 现 矛 盾 甚 至 是 欺诈 的 现象 ,而 SET 协议 的 应 用 可 以 很 好 地 解 
决 这 个 问题 ,利用 这 种 协议 对 双方 进行 认证 ,用 户 信用 卡 等 信息 就 不 会 被 商家 知道 。SET 
协议 的 安全 系数 很 高 ,所 有 参与 的 用 户 都 必须 先 安装 证 书 ,以 此 来 识别 自己 的 身份 ,可 以 很 
好 地 防止 欺诈 现象 的 发 生 , 但 是 由 于 这 种 算法 自身 非常 复杂 ,要 想 使 用 这 种 算法 需要 较 高 的 
成 本 ,而 且 对 此 加 密 对 服务 性 能 的 要 求 很 高 ,在 使 用 的 过 程 中 ,必须 安装 相应 的 插件 和 软件 。 


3.4.3 SSL 协议 


SSL 协议 是 网 景 公司 在 开发 浏览 器 的 过 程 中 ,研发 的 一 种 安全 协议 ,因此 该 协议 主要 
是 为 了 保证 网 络 数 据 传输 的 安全 ,采用 数据 加 密 技术 ,可 以 很 好 地 防止 数据 在 上 行 或 下 行 的 
过 程 中 被 窃取 。 因 此 ,现在 的 Web 浏览 器 ,基本 上 都 支持 该 协议 ,SSL 协议 在 TCP/IP 协议 
栈 中 处 于 TCP 和 HTTP 之 间 ,SSL 协议 可 以 选择 多 种 加 密 算法 来 进行 认证 。SSL 协议 的 
认证 是 双向 的 ,首先 就 是 服务 器 的 认证 ,客户 机 要 向 服务 发 出 请 求 信息 ,服务 器 接收 到 用 户 
的 请 求 后 ,会 返回 用 于 生成 密 钥 的 相关 信息 ,用 户 收 到 这 个 信息 后 就 可 以 生成 密 钥 ,完成 对 
服务 器 的 认证 ,最 后 服务 器 还 要 向 客户 机 发 送 一 个 提问 ,客户 机 返回 相应 的 数据 后 , 才 算 完 
成 双方 的 认证 。SSL 协议 的 应 用 非常 广泛 ,几乎 所 有 涉及 Web 通信 的 领域 ,都 可 以 采用 该 
协议 来 保证 网 络 的 安全 ,尤其 是 该 协议 的 设置 非常 简单 ,只 需要 少量 的 成 本 ,不 需要 安装 任 
何 的 插件 和 软件 ,但 是 该 协议 只 能 保证 传输 过 程 的 安全 。 


3.4.4 SHTTP 协议 


SHTTP 是 Secure HyperText Transfer Protocal 的 缩写 ,中 文 名 为 安全 超 文本 转换 协 
议 ,该 协议 是 在 传统 HTTP 的 基础 上 ,为 了 保证 网 络 的 安全 性 ,研发 的 一 种 新 的 网 络 安全 协 
议 ,SHTTP 协议 的 应 用 ,可 以 很 好 地 兼容 HTTP 的 程序 ,这 种 协议 可 以 提供 多 种 安全 措 
施 ,能 够 满足 互联 网 上 不 同 用 户 的 需求 ,SHTTP 与 HTTP 处 于 同一 协议 层 中 。SHTTP 可 
以 通过 不 同 的 算法 来 保证 数据 的 安全 ,如 常见 的 RSA、DES 等 ,在 实际 的 应 用 中 ,可 以 与 
SSL 协议 共同 来 保证 数据 传输 的 安全 ,也 可 以 协同 SET 协议 等 ,进行 具体 功能 上 的 保护 , 虽 
然 这 种 协议 具有 很 高 的 安全 性 ,但 是 实现 起 来 具有 较 大 的 难度 ,因此 目前 还 没有 得 到 普及 
应 用 。 


@.5 本 章 小 结 


本 章 介绍 了 密码 学 的 历史 、 密 码 系统 的 概念 、 密 码 的 分 类 ,重点 介绍 了 几 种 常用 加 密 技 
术 原 理 及 其 应 用 ,最 后 介绍 了 几 种 安全 协议 。 

密码 系统 又 称 为 密码 体制 ,是 指 能 完整 地 解决 信息 安全 中 的 机 密 性 、 数 据 完整 性 、 认 证、 
身份 识别 及 不 可 抵赖 等 问题 中 的 一 个 或 几 个 的 一 个 系统 。 其 目的 是 人 们 能 够 使 用 不 安全 信 
道 进行 安全 的 通信 。 

加 密 技术 主要 分 为 对 称 加 密 算法 和 非 对 称 加 密 算法 。 对 称 加 密 算法 指 加 密 和 解密 使 用 
相同 密 钥 的 加 密 算法 ,就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推算 出 来 ,同时 解密 密 钥 也 可 以 从 
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加 密 密 钥 中 推算 出 来 。 在 计算 机 专 网 系统 中 广泛 使 用 的 对 称 加 密 算法 有 DES、IDEA 和 
AES。 非 对 称 加 密 算法 是 指 加 密 密 钥 与 解密 密 钥 是 不 同 的 ,一 个 称 为 公开 密 钥 , 另 一 个 称 为 
私人 密 钥 (或 秘密 密 钥 ) ,因此 这 种 密码 体系 也 称 为 公 钥 密码 体系 。 公 钥 密 码 体 制 的 算法 中 
最 著名 的 代表 是 RSA 系统 ,此 外 还 有 椭圆 曲线 .背包 密码 和 ElGamal 算法 等 。 

基于 数据 加 密 的 应 用 技术 包括 鉴别 .数字 签名 、 物 联网 认证 与 访问 控制 以 及 公 钥 基础 设 
施 等 。 

常用 安全 协议 有 Kerberos 协议 .SET 协议 、SSL 协议 和 SHTTP 协议 等 。 


像 习 思考 是 


. 简 述 密码 学 的 定义 和 作用 。 

. 古典 密码 学 主要 分 成 哪儿 种 类 型 ? 请 详 述 其 中 一 种 。 

. 什么 是 非 对 称 加 密 , 有 哪些 特点 ? 请 介绍 几 种 非 对 称 加 密 算 法 。 
. 什么 是 公 钥 加 密 , 有 哪些 特点 ? 请 介绍 几 种 公 钥 加 密 算法 。 
.什么 是 单 向 散 列 函数 ? 请 举例 说 出 有 哪些 属于 单 向 散 列 函数 。 
. 简 述 数字 签名 技术 的 原理 。 

. 数字 签名 与 加 密 技术 在 密 钥 对 的 使 用 上 有 什么 区 别 ? 

. PKI 的 优势 主要 表现 在 哪些 方面 ? 

. 网络 中 的 认证 包括 哪些 方面 ? 什么 是 物 联网 认证 ? 

10. 目前 信息 系统 的 访问 控制 有 哪儿 种 ?分 别 简 述 其 特点 。 

11. 常用 的 网 络 协议 有 哪些 ? 请 阐述 每 一 种 协议 的 工作 原理 。 


RR- 
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4.1.1 RFID 系统 的 组 成 部 分 


射频 识别 (Radio Frequency Identification,RFID) 技 术 是 一 种 非 接触 式 自动 识别 技术 。 
它 通 过 无 线 射频 方式 自动 识别 特定 目标 的 电子 标签 ,并 读 写 标 签 中 的 相关 信息 。 

RFID 技术 可 以 识别 高 速 运动 的 目标 对 象 ,例如 行驶 中 的 汽车 ,并 可 以 同时 识别 多 个 标 
签 , 能 够 快速 地 进行 物品 的 追踪 和 管理 ,具有 可 靠 性 高 .保密 性 强 .成 本 低廉 等 特点 。 它 广泛 
应 用 于 仓库 管理 ,物品 追踪 防伪、 物流 配送 .过 程控 制 . 访 问 控制 门禁 .自动 收费 .供应 链 管 
理 、 图 书 管理 等 领域 。 

RFID 系统 的 组 成 部 分 如 图 4-1 所 示 。 


天 线 v 
人 物品) | 电子 村 答 ! |、 
a 人、 二 
- yr 应 用 软件 
( 物品。 )-| 电子 标 竺 2 刘 设 中 间 介 人 
1 2 
天 线 六 , 
人 物 B )-| 电子 标 等 下 
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图 4-1 RFID 系统 的 基本 组 成 部 分 


一 套 完整 的 RFID 系统 ,通常 由 物品 (Physical thing)、 电 子 标签 (Tag)、 天 线 
(Antenna) , 读 写 器 (Reader and Writer)、 中 间 件 (Middleware) 和 应 用 软件 (Application 
Software) 等 六 个 部 分 组 成 。 各 个 组 成 部 分 的 主要 功能 如 下 : 


1. 物品 (Physical thing) 


物品 是 指 物理 世界 中 实 实在 在 的 物体 ,如 服装 .食物 ,汽车 文具、 书刊 .家 具 等 各 种 各 样 
的 物品 。 在 物 联网 中 ,这 些 物 品 都 是 可 以 互联 的 。 


2. 电子 标签 (Tag) 


RFID 标签 俗称 电子 标签 (Tag) ,也 称 为 应 答 器 (Responder) ,根据 工作 方式 ,电子 标签 
可 以 分 为 主动 式 ( 有 源 ) 和 被 动 式 (无 源 ) 两 大 类 。 在 本 书 中 ,仅仅 介绍 常用 的 被 动 式 电子 
标签 。 

被 动 式 RFID 标签 由 标签 芯片 和 标签 天 线 (或 线圈 ) 组 成 ,利用 电感 耦合 或 电磁 反 向 散 
射 耦合 原理 实现 与 读 写 器 之 间 的 通信 。REFID 标签 中 存储 一 个 唯一 编码 ,通常 是 一 个 64 位 
二 进 制 数 .96 位 二 进 制 数 甚至 位 数 更 多 的 二 进 制 数 ,其 地 址 空间 大 大 高 于 条 形 码 所 能 提供 
的 空间 ,因此 可 以 实现 全 球 唯一 的 物品 编码 。 当 RFID 标签 进入 读 写 器 的 作用 区 域 ,就 可 以 
根据 电感 耦合 原理 ( 近 场 作用 范围 内 ) 或 电磁 反 向 散射 耦合 原理 ( 远 场 作用 范围 内 ) 在 标签 天 
线 两 端 产生 感应 电势 差 ,并 在 标签 芯片 通路 中 形成 微弱 电流 ,如 果 这 个 电流 强度 超过 一 个 阔 
值 ,就 将 激活 RFID 标签 芯片 电路 工作 ,从 而 对 标签 芯片 中 的 存储 器 进行 读 / 写 操作 , 微 控制 
器 还 可 以 进一步 加 入 诸如 密码 或 防 碰撞 算法 等 复杂 功能 。RFID 标签 芯片 的 内 部 结构 主要 
包括 射频 前 端 ,模拟 前 端 .数字 基带 处 理 单元 和 E:PROM 存储 单元 四 个 部 分 。 


3. 天 线 (Antenna) 


天 线 是 RFID 标签 和 读 写 器 之 间 实 现 射频 信号 空间 传播 和 建立 无 线 通 信和 连接 的 设备 。 
RFID 系统 中 包括 两 类 天 线 , 一 类 是 RFID 标签 上 的 天 线 , 由 于 它 已 经 和 RFID 标签 集成 为 
一 体 ,因此 不 再 单独 讨论 ; 另 一 类 是 读 写 器 天 线 , 既 可 以 内 置 于 读 写 器 中 ,也 可 以 通过 同 轴 
电缆 与 读 写 器 的 射频 输出 端口 相连 。 目 前 的 天 线 产品 大 多 采用 收发 分 离 技术 来 实现 发 射 和 
接收 功能 的 集成 。 天 线 在 RFID 系统 中 的 重要 性 往往 被 人 们 所 忽视 ,在 实际 应 用 中 ,天 线性 
能 的 优 劣 是 影响 RFID 系统 识别 质量 的 主要 因素 。 高 性 能 的 天 线 不 仅 要 求 具有 良好 的 阻抗 
匹配 特性 ,还 需要 根据 应 用 环境 的 特点 对 方向 特性 、 极 化 特性 和 频率 特性 等 进行 专门 设计 。 


4. 读 写 器 (Reader and Writer) 


读 写 器 也 称 为 阅读 器 或 询问 器 (Interrogator) , 它 是 对 RFID 标签 进行 读 / 写 操 作 的 设 
备 ,主要 包括 射频 模块 和 数字 信号 处 理 单元 两 部 分 。 读 写 器 是 RFID 系统 中 最 重要 的 工作 
单元 。 

一 方面 ,RFID 标签 返回 的 微弱 电磁 信号 通过 天 线 进入 读 写 器 的 射频 模块 中 转换 为 数 
字 信 号 ,再 经 过 读 写 器 的 数字 信号 处 理 单 元 对 其 进行 必要 的 加 工整 形 , 最 后 从 中 解 调 出 返回 
的 信息 ,完成 对 RFID 标签 的 识别 或 读 / 写 操作 ; 另 一 方面 ,上 层 中 间 件 及 应 用 软件 与 读 写 
器 进行 交互 ,实现 操作 指令 的 执行 和 数据 汇总 上 传 。 

当 上 传 数据 时 , 读 写 器 会 对 RFID 标签 原始 数据 进行 去 重 过 滤 或 简单 的 条 件 过 滤 ,将 其 
加 工 为 读 写 器 数据 后 再 上 传 ,以 减少 与 中 间 件 及 应 用 软件 之 间 数 据 交 换 的 流量 ,因此 在 很 多 
读 写 器 中 还 集成 了 微 处 理 器 和 内 入 式 系统 ,实现 一 部 分 中 间 件 的 功能 ,如 信号 状态 控制 、 奇 
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偶 位 错误 校 验 与 修正 等 。 未 来 的 读 写 器 呈现 出 智能 化 .小 型 化 和 集成 化 趋势 ,还 将 具备 更 加 
强大 的 前 端 控 制 功能 ,例如 直接 与 工业 现场 的 其 他 设备 进行 交互 甚至 是 作为 控制 器 进行 在 
线 调度 。 在 物 联 网 中 , 读 写 器 将 成 为 同时 具有 通信 ,控制 和 计算 (Communication、Control、 
Computing) 功 能 的 C3 核心 设备 。 


5. 中 间 件 (Middleware) 


中 间 件 是 一 种 面向 消息 的 、 可 以 接受 应 用 软件 端 发 出 的 请 求 、 对 指定 的 一 个 或 者 多 个 读 
写 器 发 起 操作 并 接收 ` 处 理 后 向 应 用 软件 返回 结果 数据 的 特殊 软件 。 中 间 件 在 RFID 应 用 
中 除了 可 以 屏蔽 底层 硬件 带 来 的 多 种 业务 场景 、 硬 件 接口 .适用 标准 等 造成 的 可 靠 性 和 稳定 
性 问题 ,还 可 以 为 上 层 的 应 用 软件 提供 多 层 、 分 布 式 、 异 构 的 信息 环境 下 业务 信息 和 管理 信 
息 的 协同 。 中 间 件 还 可 以 根据 一 个 或 多 个 读 写 器 的 读 写 器 事件 进行 过 滤 、 聚 合 和 计算 ,抽象 
出 对 应 用 软件 有 意义 的 业务 多 辑 信 息 构 成 业务 事件 ,以 满足 来 自 多 个 客户 端的 检索 、 发 布 / 
订阅 和 控制 请 求 。 


6. 应 用 软件 (Application Software) 


应 用 软件 采用 位 于 后 台 的 数据 库 管 理 系统 来 实现 其 管理 功能 , 它 提 供 直 接 面向 RFID 
应 用 最 终 用 户 的 人 机 交互 界面 ,协助 使 用 者 完成 对 读 写 器 的 指令 操作 ,以 及 对 中 间 件 的 迎 辑 
设置 , 逐 级 将 RFID 标签 上 的 原始 数据 转化 为 便于 使 用 者 理解 的 业务 数据 ,并 使 用 可 视 化 界 
面 进行 展示 。 由 于 应 用 软件 需要 针对 不 同 应 用 领域 的 用 户 专门 编制 ,因此 很 难 具 有 通用 性 。 
从 应 用 评价 标准 来 说 ,使 用 者 在 应 用 软件 界面 上 的 用 户 体验 ,是 判断 一 个 RFID 应 用 系统 成 
功 与 否 的 决定 性 因素 。 


4.1.2 RFID 系统 的 工作 原理 


如 前 所 述 , 一 套 完 整 的 RFID 系统 ,由 物品 .电子 标签 、 天 线 , 读 写 器 、 中 间 件 和 应 用 软件 
等 部 分 组 成 。 

在 基于 RFID 技术 的 物 联网 系统 中 ,标签 与 读 写 器 之 间 是 通过 射频 信号 进行 通信 和 的 ,而 
读 写 器 与 应 用 系统 之 间 是 通过 局 域 网 进行 通信 的 。 

RFID 系统 的 工作 原理 是 读 写 器 发 射 某 个 特定 频率 的 无 线 电 波 ,把 能 量 传送 给 电子 标 
签 , 用 以 驱动 电子 标签 电路 工作 ,将 其 内 部 的 数据 送出 ,此 时 读 写 器 便 按 次 序 接收 并 解读 数 
据 , 然 后 送 给 应 用 系统 作 相 应 的 处 理 。 

当 电子 标签 进入 磁场 后 , 读 写 器 发 出 射频 信号 ,电子 标签 凭借 天 线 感应 电流 所 获得 的 能 
量 ,发 送出 存储 在 芯片 中 的 产品 信息 (Passive Tag ,被动 标签 ) 或 者 由 电子 标签 主动 发 送 某 
一 频率 的 信号 (Active Tag, 有 源 标签 或 主动 标签 ) , 读 写 器 读 取信 息 并 解码 后 , 送 至 中 间 件 
进行 有 关 数 据 处 理 。 

以 RFID 读 写 器 与 电子 标签 之 间 的 通信 及 能 量 感应 方式 来 分 类 ,RFID 大 致 上 可 以 分 成 
两 类 : 感应 耦合 (Inductive Coupling) 和 后 向 散射 耦合 (Backscatter Coupling)。 通 常 , 低 频 
的 RFID 系统 大 都 采用 感应 耦合 方式 ,而 较 高 频 的 RFID 系统 大 多 采用 后 向 散射 耦合 方式 。 

读 写 器 是 RFID 系统 信息 控制 和 处 理 中 心 。 按 照 所 采用 的 结构 和 技术 的 不 同 , 读 写 器 
可 以 是 读 出 装置 ,也 可 以 是 读 / 写 装置 。 读 写 器 通常 由 耦合 模块 ,收发 模块 .控制 模块 和 接口 
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单元 组 成 。 读 写 器 与 电子 标签 之 间 一 般 采 用 半 双 工 通信 方式 进行 信息 交换 ,同时 读 写 器 通 
过 耦合 给 无 源 电子 标签 提供 能 量 和 信号。 

在 实际 应 用 中 ,可 进一步 通过 有 线 局 域 网 (Wired Local Area Network) 或 无 线 局 域 网 
(Wireless Local Area Network) 等 实现 对 标签 提供 的 物体 标识 信息 的 采集 .处 理 和 远程 传 
送 等 管理 功能 。 电 子 标签 是 RFID 系统 的 信息 载体 , 目前 电子 标签 大 多 是 由 耦合 元 件 ( 线 
圈 、 微 带 天 线 等 ) 和 微 芯 片 组 成 无 源 单元 。 

RFID 射频 识别 系统 的 基本 工作 方式 可 以 分 为 全 双 工 (Full Duplex)、 半 双 工 (Half 
Duplex) 系 统 和 时 序 (SEQ) 系统。 

全 双 工 表示 电子 标签 与 读 写 器 之 间 可 在 同一 时 刻 互相 传送 信息 ; 半 双 工 表示 电子 标签 
与 读 写 器 之 间 也 可 以 双向 传送 信息 ,但 收发 双方 必须 轮流 工作 ,在 同一 时 刻 只 能 向 一 个 方向 
传送 信息 。 

在 全 双 工 和 半 双 工 系统 中 ,电子 标签 的 响应 是 读 写 器 通过 电磁 波 发 送出 去 的 。 因 为 与 
读 写 器 发 出 的 电磁 波 信和 号 相 比 ,在 电子 标签 接收 天 线 上 的 电磁 波 信号 很 微弱 ,所 以 必须 使 用 
合适 的 传输 方法 ,以 便 把 电子 标签 的 信号 与 读 写 器 的 信号 区 别 开 来 。 传 输 方法 有 负载 反射 
调制 技术 和 时 序 方法 两 种 。 

在 实际 应 用 中 ,对 从 电子 标签 到 读 写 器 之 间 的 数据 传输 ,一 般 采 用 负载 反射 调制 技术 ， 
将 电子 标签 数据 加 载 到 反射 回 波 上 。 

时 序 方法 则 与 负载 反射 调制 技术 相反 , 读 写 器 发 射出 的 电磁 波 短 时 间 周 期 性 地 断 开 。 
这 些 时 间 间 隔 被 电子 标签 识别 出 来 ,并 被 用 于 从 电子 标签 到 读 写 器 的 数据 传输 。 实 际 上 ,这 
是 一 种 典型 的 雷达 工作 方式 。 时 序 方法 的 缺点 是 : 在 读 写 嚣 发送 间 吹 时 ,电子 标签 的 能 量 
供应 中 断 ,这 就 必须 通过 配备 足够 大 的 辅助 电池 的 方法 来 提供 电源 。 

读 写 器 发 送信 号 时 使 用 的 频率 称 为 RFID 系统 的 工作 频率 。 按 工作 频率 来 划分 ,RFID 
系统 可 以 分 为 低频 系统 和 高 频 系统 。 

低频 RFID 系统 一 般 指 其 工作 频率 小 于 30MHz, 典型 的 工作 频率 为 125KHz、 
225KHz、13. 56MHz 等 ,工作 在 这 些 频率 的 射频 识别 系统 一 般 都 适用 于 相应 的 国际 标准 。 
低频 RFID 系统 的 基本 特点 是 电子 标签 的 成 本 较 低 、 电 子 标签 内 保存 的 数据 量 较 少 、 阅 读 距 
离 较 短 、 电 子 标签 外 形 多 样 ( 卡 状 、 环 纽 .纽扣 状 、 笔 状 ) ,阅读 天 线 方向 性 不 强 等 。 

高 频 RFID 系统 一 般 指 其 工作 频率 大 于 400MHz, 典 型 的 工作 频率 为 : 915MHz、 
2.45GHz、5. 8GHz 等 。 高 频 RFID 系统 在 这 些 频 率 上 也 得 到 了 众多 国际 标准 的 支持 。 高 
频 RFID 系统 的 基本 特点 是 电子 标签 及 读 写 器 的 成 本 比较 高 .电子 标签 内 保存 的 数据 量 较 
大 阅读 距离 较 远 (可 达 几 米 至 十 几米 )、 适 应 于 高 速 运动 的 物体 、 外 形 一 般 为 卡 状 、 阅 读 天 线 
和 电子 标签 天 线 都 有 较 强 的 方向 性 等 。 


4.1.3 RFID 系统 的 安全 威胁 


随 着 RFID 技术 的 快速 发 展 , 它 在 物 联 网 中 的 应 用 已 经 远 远 超出 了 原 有 计算 机 系统 的 
范围 。 其 安全 问题 也 成 为 一 个 业界 广泛 关注 的 问题 ,其 主要 原因 包括 以 下 几 个 方面 。 


1. 标签 计算 能 力 比较 弱 
RFID 标签 在 计算 能 力 和 功 耗 方面 具有 特有 的 局 限 性 ,RFID 标签 的 存储 空间 非常 少 ， 
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最 廉价 的 标签 ,只 有 64 一 128 位 的 存储 空间 ,仅仅 可 以 存放 唯一 的 标识 符 。 由 于 标签 本 身 的 
成 本 所 限 ,标签 本 身 较 难 具备 足够 的 安全 能 力 , 很 容易 被 攻击 者 操控 ,攻击 者 可 以 利用 合法 
的 读 写 器 或 者 自行 构造 的 一 个 读 写 器 ,直接 与 RFID 标签 进行 通信 , 读 取 、 纂 改 甚 至 删除 标 
签 内 所 存储 的 数据 。 在 没有 足够 可 信任 的 安全 机 制 的 保护 下 ,标签 的 安全 性 \ 有 效 性 、 完 整 
性 、 可 用 性 和 真实 性 都 难以 得 到 保障 。 


2. 无 线 网 络 的 脆弱 性 


标签 层 和 读 写 器 层 采 用 无 线 射频 信号 进行 通信 ,在 通信 的 过 程 中 没有 任何 物理 或 者 可 
见 的 接触 ,而 无 线 网 络 固 有 的 脆弱 性 使 系统 很 容易 受到 各 种 形式 的 攻击 。 在 给 应 用 系统 数 
据 采集 提供 灵活 性 和 方便 性 的 同时 ,RFID 系统 传递 的 信息 也 会 暴露 在 环境 中 。 


3. 业务 应 用 的 隐私 安全 


在 传统 的 网 络 中 ,网 络 层 的 安全 和 业务 层 的 安全 是 相互 独立 的 ,而 在 物 联网 中 ,网 络 连 
接 和 业务 使 用 是 紧密 结合 的 。 物 联网 中 传输 信息 的 安全 性 和 隐私 性 问题 ,也 成 为 了 制约 物 
联网 进一步 发 展 的 重要 因素 。 

根据 RFID 物 联 网 的 系统 结构 ,可 以 把 物 联 网 面临 的 威胁 和 攻击 分 为 两 类 : 第 一 类 是 
针对 物 联 网 系统 的 实体 的 威胁 ,主要 是 针对 标签 、 读 写 器 和 应 用 系统 的 攻击 ; 另 一 类 是 针对 
物 联网 中 的 通信 过 程 的 威胁 ,包括 针对 射频 通信 和 互联 网 通信 的 攻击 。 


4.1.4 ”RFID 系统 的 总 体 安全 需求 


一 个 比较 完整 的 RFID 系统 安全 解决 方案 ,应 当 综合 考虑 物 联网 系统 中 的 实体 安全 和 
通信 安全 ,并 满足 机 密 性 完整 性 可 用 性 、 可 审计 性 和 隐私 性 等 安全 需求 。 


1. 机 密 性 
机 密 性 是 指 电子 标签 内 部 的 数据 和 电子 标签 与 读 写 器 之 间 通 信 的 数据 不 能 被 非法 获 
取 , 即 使 被 非法 获取 也 不 能 被 理解 。 机 密 性 保证 信息 只 能 被 授权 访问 ,一 个 RFID 电子 标签 


不 应 当 向 未 授权 的 读 写 器 泄露 任何 敏感 的 信息 。 机 密 性 对 于 公交 卡 、. 电 子 钱包 等 包含 敏感 
数据 的 电子 标签 非常 重要 。 


完整 性 是 指 电子 标签 内 部 数据 及 其 与 读 写 器 之 间 的 通信 数据 不 能 被 非法 自 改 ,即使 被 
算 改 也 能 够 被 检测 到 。 自 改 数据 是 欺骗 行为 ,大 多 数 RFID 系统 都 需要 保证 数据 的 完整 性 。 
在 RFID 系统 中 ,通常 使 用 消息 认证 码 来 进行 数据 完整 性 的 检验 ,即使 用 带 有 共享 密 钥 的 散 
列 算 法 ,将 共享 密 钥 和 待 检验 的 消息 连接 在 一 起 进行 散 列 运算 ,对 数据 的 任何 改动 都 会 导致 
消息 认证 码 的 值 产生 变化 ,从 而 发 现 攻击 行为 。 


3. 可 用 性 


可 用 性 是 指 系统 在 需要 的 时 候 能 够 被 合法 使 用 ,攻击 者 不 能 限制 合法 用 户 的 使 用 。 对 
于 RFID 系统 来 说 ,由 于 空中 接口 反射 信号 微弱 以 及 防 冲 突 协 议 的 脆弱 性 等 原因 ,可 用 性 受 
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到 破坏 的 可 能 性 比较 大 。 在 公众 场合 ,电子 标签 的 可 用 性 很 容易 被 屏蔽. 遮盖、 撕毁 等 手段 
破坏 ,因此 ,在 系统 设计 中 应 加 以 重视 。 考 虑 到 节能 的 要 求 , 一 个 合理 的 RFID 安全 方案 中 
安全 协议 和 算法 的 设计 都 不 应 当 过 于 复杂 ,并 尽 可 能 地 避 开 公 钥 运算 ,计算 开销 \ 存 储 容量 
和 通信 能 力也 应 当 充 分 考虑 RFID 系统 资源 有 限 的 特点 , 即 安全 性 设计 方案 不 应 当 限 制 
RFID 系统 的 可 用 性 ,并 能 够 有 效 防止 攻击 者 对 电子 标签 资源 的 恶意 消耗 。 


4. 可 审计 性 


对 于 RFID 系统 而 言 , 可 审计 性 主要 是 要 保证 读 写 器 .电子 标签 及 其 数据 是 真实 可 信 
的 ,要 保证 标签 被 读 取 或 者 被 写 人 的 记录 可 以 被 追踪 。 预 防伪 造 和 假冒 的 读 写 器 假冒 的 电 
子 标签 及 其 数据 。 由 于 电子 标签 数据 要 被 送 到 后 台 系 统 中 作 进一步 的 处 理 , 虚 假 数 据 可 能 
导致 较 大 的 损失 ,因此 要 求 电子 标签 及 其 数据 是 真实 的 。 攻 击 者 可 能 伪造 电子 标签 ,也 可 能 
通过 某 种 方式 隐藏 电子 标签 ,使 读 写 器 无 法 发 现 该 标签 ,从 而 成 功 地 实施 物品 转移 , 读 写 器 
必须 通过 身份 认证 才能 确信 消息 是 从 合法 的 电子 标签 处 发 送 过 来 的 。 


5. 隐私 性 


隐私 性 是 针对 个 人 携带 粘贴 了 电子 标签 的 物品 而 产生 的 需求 。RFID 标签 可 能 会 泄露 
使 用 者 的 个 人 喜好 、` 消 费 习惯 ,行踪 等 隐私 信息 。 隐 私 性 可 以 分 为 信息 隐私 、 位 置 隐私 和 交 
易 隐私 等 类 型 。 信 息 隐 私 是 指 用 户 相 关 的 非 公开 信息 不 能 被 获取 或 者 推断 出 来 ; 位 置 隐私 
是 指 携带 电子 标签 的 用 户 不 能 被 跟踪 和 定位 ; 交易 隐私 是 指 电子 标签 在 与 系统 交换 数据 
时 ,或 者 单个 用 户 新 增 某 个 标签 时 ,或 者 用 户 失去 某 个 标签 时 ,产生 的 交易 信息 不 能 被 获取 。 


4.1.5 ”RFID 系统 各 组 成 部 分 的 安全 需求 


1. 电子 标签 


在 电子 标签 中 需要 保护 数据 包括 4 种 类 型 : 标签 标识 ; 用 于 认证 和 控制 标签 内 数据 访 
问 的 密 钥 ; 标签 内 的 业务 数据 ; 标签 的 执行 代码 。 

电子 标签 的 安全 需求 包括 机 密 性 、 完 整 性 、 可 用 性 和 可 审计 性 四 个 方面 。 

1) 机 密 性 

机 密 性 是 指标 签 内 的 数据 不 能 被 未 授权 的 用 户 访问 。 尤 其 是 标签 标识 ,由 于 其 相对 固 
定 并 与 物理 世界 中 的 人 和 物体 紧密 关联 ,因此 标签 标识 的 机 密 性 作为 隐私 问题 而 被 特别 关 
注 。 在 考虑 保护 标签 机 密 性 时 ,除了 传统 安全 领域 的 安全 策略 之 外 ,还 需要 考虑 标签 的 低 成 
本 、 低 性 能 的 特性 。 由 于 标签 体积 很 小 且 成 本 很 低 , 因 此 其 计算 能 力 有 限 ,在 考虑 引入 传统 
的 加 密 机 制 . 认 证 机 制 和 访问 控制 时 ,应 充分 考虑 其 实现 时 的 计算 能 力 问题 。 

2) 完整 性 

完整 性 是 指标 签 中 的 数据 不 能 被 未 授权 的 用 户 所 修改 。 标 签 的 完整 性 主要 用 于 保护 标 
签 中 的 业务 数据 不 受 恶 意 修 改 , 因 为 这 些 数据 通常 包括 大 量 与 业务 相关 的 信息 。 特 别 是 当 
标签 用 于 银行 、 股 市 和 保险 等 金融 领域 时 ,标签 中 的 数据 往往 具有 经 济 意义 。 

3) 可 用 性 

可 用 性 是 指标 签 中 的 数据 和 功能 可 以 进行 正常 读 取 和 响应 。 标 签 一 般 都 粘贴 在 物品 的 
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表面 或 能 和 在 物品 内 部 ,而 粘贴 在 物品 上 的 标签 很 容易 被 毁坏 。 另 外 ,Kil 命令 可 以 删除 标 
签 中 的 部 分 或 者 全 部 数据 ,甚至 使 之 完全 失效 。Kil 命令 是 为 了 保护 用 户 的 隐私 而 制订 的 ， 
攻击 者 有 可 能 利用 这 一 命令 毁坏 标签 。 因 此 ,应 保证 标签 的 可 用 性 ,使 之 能 够 正常 响应 读 写 
器 的 请 求 。 

4) 可 审计 性 

可 审计 性 是 指 对 标签 的 任何 读 写 操作 都 能 被 审计 追踪 ,从 而 保证 标签 的 可 审计 性 。 


2. 读 写 器 


在 读 写 器 中 需要 保护 的 数据 主要 包括 3 种 类 型 : 与 标签 进行 相互 认证 的 密 钥 ; 与 标签 
相关 的 数据 ; 读 写 器 的 执行 代码 。 

读 写 器 的 安全 需求 也 包括 机 密 性 、 完 整 性 .可 用 性 和 可 审计 性 四 个 方面 。 

1) 机 密 性 

机 密 性 是 指 读 写 器 中 的 数据 只 能 被 授权 用 户 访问 。 特 别 是 与 标签 进行 相互 认证 的 密 
钥 , 如 果 密 钥 信 息 泄漏 ,攻击 者 很 可 能 通过 假冒 读 写 器 与 标签 进行 通信 ,因此 必须 保证 读 写 
器 中 的 密 钥 的 机 密 性 。 由 于 读 写 器 不 需要 严格 考虑 成 本 ,因此 可 以 沿用 传统 的 加 密 机 制 来 
保护 机 密 性 。 

2) 完整 性 

完整 性 是 指 读 写 器 中 的 数据 仅 能 被 授权 用 户 修改 。 特 别 是 要 保护 与 标签 相关 的 信息 不 
被 攻击 者 修改 ,因为 这 些 数据 与 业务 密切 相关 。 

3) 可 用 性 

可 用 性 是 指 读 写 器 能 够 正常 发 送 请 求 并 且 能 够 响应 标签 的 回复 。 攻 击 者 可 能 利用 或 席 
坏 读 写 器 ,因此 需要 保证 读 写 器 的 可 用 性 。 

4) 可 审计 性 

可 审计 性 是 指 要 保证 读 写 器 读 取 标 签 或 者 写 人 标签 的 记录 都 可 以 被 监测 、 追 踪 和 审计 。 


3. 应 用 软件 


在 应 用 软件 中 需要 保护 的 数据 包括 4 种 类 型 : 与 标签 相关 的 数据 ; 与 用 户 相 关 的 数据 ; 
与 业务 应 用 相关 的 数据 ; 代码 。 

应 用 软件 的 安全 需求 同样 包括 机 密 性 、 完 整 性 、 可 用 性 和 可 审计 性 等 四 个 方面 。 

1) 机 密 性 

机 密 性 是 指 应 用 系统 中 的 数据 不 能 被 未 授权 用 户 访 问 。 特 别 是 与 标签 相关 和 与 用 户 相 
关 的 信息 ,这 些 信息 往往 涉及 用 户 的 隐私 ,通常 都 保存 在 后 台数 据 库 中 ,一 旦 被 攻击 者 获取 ， 
使 用 者 的 隐私 将 无 法 得 到 保障 。 此 外 ,还 必须 保证 与 业务 应 用 相关 的 数据 的 机 密 性 ,因为 攻 
击 者 很 可 能 通过 分 析 这 些 数据 来 追踪 用 户 的 行踪 ,甚至 分 析 用 户 的 消费 习惯 。 

2) 完整 性 

完整 性 是 指 应 用 系统 中 的 数据 不 能 被 未 授权 用 户 自 改 。 特 别 是 与 用 户 相关 的 数据 和 业 
务 数据 ,一 旦 被 攻击 者 算 改 ,可 能 造成 很 大 的 经 济 损失 。 

3) 可 用 性 

可 用 性 是 指 保证 应 用 系统 正常 运转 ,满足 用 户 的 需求 。 
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4) 可 审计 性 
可 审计 性 是 指 保 证 应 用 系统 可 以 被 监测 、 追 踪 和 审计 。 


4. 射频 通信 模块 


射频 通信 模块 需要 保护 的 对 象 包括 通信 数据 和 通信 信道 。 

射频 通信 模块 的 安全 需求 也 包括 机 密 性 、 完 整 性 、 可 用 性 和 可 审计 性 等 四 个 方面 。 

1) 机 密 性 

机 密 性 是 指 保护 射频 通信 数据 的 机 密 性 。 射 频 通 信 模 块 是 通过 无 线 射 频 信 号 进行 通信 
的 ,攻击 者 可 以 通过 窃听 分 析 微 处 理 器 正常 工作 过 程 中 产生 的 各 种 电磁 特征 ,来 获得 标签 与 
读 写 器 之 间或 标签 与 其 他 RFID 设备 之 间 的 通信 和 数据。 而 且 , 由 于 从 读 写 器 到 标签 的 前 向 
信道 具有 较 大 的 覆盖 范围 ,因而 它 比 从 标签 到 读 写 器 的 后 向 信道 更 不 安全 。 因 此 ,射频 通信 
层 的 通信 数据 的 机 密 性 也 更 为 重要 。 

2) 完整 性 

完整 性 是 指 保护 射频 通信 模块 的 通信 数据 不 允许 被 未 授权 修改 。 攻 击 者 可 以 利用 射频 
通信 模块 无 线 网 络 固有 的 脆弱 性 来 自 改 或 重 放 信息 ,来 破坏 读 写 器 与 标签 之 间 的 正常 通信 ， 
因此 ,需要 运用 加 密 、 哈 希 散 列 和 CRC 校 验 等 措施 ,来 保证 通信 数据 的 完整 性 。 

3) 可 用 性 

可 用 性 是 指 保护 通信 信道 能 够 正常 通信 。 射 频 信 号 很 容易 受到 干扰 ,恶意 攻击 者 可 能 
通过 干扰 广播 .阻塞 信道 等 方法 来 破坏 射频 通信 信道 ,因此 需要 保证 射频 通信 层 的 可 用 性 。 

4) 可 审计 性 

可 审计 性 是 指 保证 射频 通信 模块 可 以 被 监测 .追踪 和 审计 。 


4.1.6 针对 RFID 系统 的 常见 攻击 方法 


如 前 所 述 ,RFID 系统 一 般 由 电子 标签 天线. 读 写 器 .中 间 件 .应 用 软件 等 部 分 组 成 。 
对 于 攻击 者 来 说 ,这 几 个 部 分 都 有 可 能 成 为 攻击 的 目标 。 


1. 针对 标签 和 读 写 器 的 攻击 


针对 标签 和 读 写 器 的 常见 的 攻击 方法 ,主要 包括 窃听 、 略 读 、 克 隆 、 重 放 、 追 踪 、 扰 乱 等 。 

1) 窃听 

RFID 系统 通过 无 线 电 传递 信息 , 读 写 器 与 标签 之 间 的 通信 内 容 可 以 被 窃听 到 。 人 窃听 
是 一 种 特殊 的 攻击 行为 , 它 可 以 远程 实施 ,但 发 现 却 很 困难 ,因为 窃听 是 一 个 隐藏 的 行为 , 它 
不 会 产生 任何 信号 。 当 敏感 消息 在 信道 内 传输 时 ,窃听 攻击 就 构成 一 个 严重 的 威胁 。 例 如 ， 
将 一 个 天 线 安装 在 RFID 信用 卡 读 写 器 附近 , 读 写 器 与 RFID 信用 卡 之 间 的 无 线 电 信号 有 
可 能 被 捕获 并 翻译 成 可 被 人 识别 的 形式 。 如 果 被 捕获 的 是 持 卡 人 姓名 、 完 整 的 信用 卡号 码 、 
信用 卡 失效 日 期 信用卡 类 型 软件 版 本 、 支 持 的 通信 协议 等 重要 信息 ,就 会 给 持 卡 人 带 来 经 
济 损失 。 

攻击 者 通过 窃听 获取 非 公开 的 内 部 或 机 密 的 信息 后 , 既 可 以 利用 这 些 信息 ,也 可 以 出 售 
这 些 信息 谋取 利益 ,或 者 公开 这 些 信息 使 RFID 系统 处 于 被 动 状态 ,或 者 保存 这 些 信息 以 备 
将 来 使 用 。 
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2) 略 读 

咯 读 是 指 在 标签 所 有 者 不 知情 和 没有 得 到 所 有 者 同意 的 情况 下 读 取 存 储 在 RFID 标签 
中 的 数据 。 它 通过 一 个 非法 的 读 写 器 与 标签 交互 来 获取 标签 中 存储 的 数据 。 由 于 某 些 标签 
在 不 需要 认证 的 情况 下 会 广播 存储 的 内 容 , 因 此 这 种 攻击 行为 有 可 能 奏效 。 

略 读 攻击 的 一 个 典型 例子 是 针对 电子 护照 的 攻击 。 电 子 护 照 中 包含 敏感 信息 , 现 有 的 
强制 被 动 认 证 机 制 要 求 使 用 数字 签名 , 读 写 器 能 够 读 取 来 自 电子 护照 中 的 数据 。 然 而 ,由 于 
读 写 器 不 需要 被 认证 ,标签 会 不 加 判断 地 进行 回答 。 如 果 数 字 签名 并 没有 与 护照 中 的 特定 
数据 相关 联 , 仅 仅 支持 被 动 认 证 ,那么 拥有 读 写 器 的 攻击 者 就 能 够 获得 护照 持 有 人 的 姓名 、 
性 别 . 出 生日 期 护照 号 码 甚至 面部 照片 等 敏感 信息 。 

3) 克隆 

克隆 就 是 攻击 者 非法 地 复制 标签 ,并 用 复制 的 标签 冒充 合法 的 标签 。 

对 于 信用 卡 、 电 子 车 票 等 具有 高 安全 性 应 用 的 支付 系统 ,在 设计 RFID 系统 时 ,应 当 考 
虑 实际 的 需求 ,选择 具有 加 密 功 能 的 系统 ,如 果 和 忽视 了 加 密 过 程 ,攻击 者 将 有 可 能 使 用 克隆 
的 假冒 标签 而 获取 未 经 许可 的 服务 ,产生 非常 严重 的 安全 隐患 。 

主动 认证 方法 具有 防 克隆 的 特性 ,这 种 方法 使 用 公 钥 加 密 , 它 依靠 电子 标签 提供 的 私 钥 
来 工作 : 标签 随机 产生 一 个 现时 数据 (nonce) ,并 且 用 自己 的 私 钥 对 其 进行 数字 签名 ,然后 
将 它 发 送 给 读 写 器 , 读 写 器 利用 标签 中 携带 的 与 私 钥 配 对 的 公 钥 来 验证 该 签名 的 正确 性 。 

4) 重 放 

重 放 攻击 即 攻击 者 复制 通信 双方 之 间 的 一 串 信 息 流 ,并 且 重 放 给 其 中 某 一 方 或 者 双方 。 
重 放 攻击 是 针对 安全 协议 的 攻击 ,可 以 欺骗 通信 参与 者 误 认为 攻击 者 已 经 成 功 地 完成 了 认 
证 。 这 种 攻击 对 加 密 通 信 仍 然 可 行 ,因为 信息 只 是 通过 快速 通信 信道 进行 重 放 ,而 不 需要 知 

避免 重 放 攻击 的 方法 包括 使 用 时 间 同 步 、 递 增 的 序列 号 或 者 现时 数据 等 。 但 是 ,在 
RFID 系统 中 ,时 间 同 步 是 不 可 行 的 ,因为 被 动 的 RFID 标签 没有 电源 ,不 使 用 时 钟 ; 递增 的 
序列 号 对 不 关心 跟踪 的 RFID 应 用 是 一 种 可 行 的 方案 ; 对 RFID 标签 来 说 ,使 用 现时 数据 也 
是 一 种 合适 的 方案 。 

5) 追踪 

攻击 者 有 可 能 利用 RFID 标签 上 的 信息 ,对 RFID 携带 者 进行 跟踪 ,从 而 获取 携带 者 所 
在 的 地 理 位 置 , 即 地 址 隐私 信息 。 

6) 扰乱 

攻击 者 可 以 发 射 干扰 信号 ,从 而 使 系统 陷入 混乱 状态 ,使 RFID 系统 无 法 正常 运行 。 这 
种 攻击 通过 一 个 干扰 设备 广播 无 线 电 干 扰 信 号 来 实施 攻击 ,阻止 RFID 读 写 器 与 标签 之 间 
的 正常 通信 ,从 而 导致 系统 无 法 正常 工作 。 

2. 针对 应 用 软件 和 后 台数 据 库 的 攻击 

针对 应 用 软件 和 后 台数 据 库 的 常见 的 攻击 方法 ,主要 包括 标签 伪造 与 复制 .对 象 名 字 解 
析 服 务 攻 击 和 病毒 攻击 等 。 

1) 标签 伪造 与 复制 

尽管 伪造 电子 标签 很 困难 .但 在 某 些 场 合 中 ,电子 标签 有 可 能 被 复制 。 这 与 信用 卡 被 不 


法 分 子 复制 并 在 多 个 地 点 同时 被 使 用 的 情况 很 类 似 。 由 于 复制 的 标签 很 难 在 使 用 时 被 区 分 
出 来 ,因此 ,在 应 用 系统 设计 时 应 考虑 到 这 种 可 能 的 安全 隐患 ,并 能 防范 这 种 非法 复制 标签 
的 攻击 行为 。 

2) 对 象 名 字 解 析 服务 攻击 

对 象 名 字 解 析 服 务 (Object Name Service, ONS) 是 一 种 分 布 式 目录 服务 ,为 请 求 关 于 
EPC 的 信息 提供 路 由 。 当 一 个 RFID 标签 被 制造 成 带 有 EPC 编码 时 ,EPC 编码 就 被 注册 
到 ONS 系统 中 。 当 RFID 标签 被 贴 在 产品 上 时 ,EPC 编码 就 成 了 产品 的 一 部 分 ,跟随 供应 
链 一 起 移动 。 

ONS 在 技术 与 功能 上 都 与 域名 服务 (Domain Name Service, DNS) 非 常 类 似 。 一 个 开 
放 式 的 、 全 球 性 的 追踪 物品 的 网 络 需 要 特殊 的 网 络 结构 。 因 为 除了 将 EPC 编码 存储 在 标签 
中 外 ,还 需要 一 些 将 EPC 码 与 相应 商品 信息 进行 匹配 的 方法 。 这 个 功能 就 由 对 象 名 解析 服 
务 (ONS) 来 实现 , 它 是 一 个 自动 的 网 络 服务 系统 ,类 似 于 域名 解析 服务 (DNS) ,DNS 是 将 一 
台 计 算 机 定位 到 万 维 网 上 的 某 一 具体 地 点 的 服务 。 

当 一 个 读 写 器 读 取 一 个 EPC 标签 的 信息 时 ,EPC 码 就 传递 给 了 后 台数 据 库 系统 。 后 
台数 据 库 系统 然后 再 在 局 域 网 或 因特网 上 利用 ONS 对 象 名 解析 服务 找到 这 个 产品 信息 所 
存储 的 位 置 。ONS 给 后 台数 据 库 系统 指明 了 存储 这 个 产品 的 索引 信息 的 服务 器 ,因此 就 能 
够 在 后 台数 据 库 系统 中 找到 这 个 索引 信息 ,并且 将 这 个 索引 信息 对 应 的 这 个 产品 的 详细 信 
息 传递 过 来 ,从 而 实现 供应 链 的 管理 。 

ONS 面临 的 主要 安全 威胁 如 下 : 

(1) 包 拦截 : 拦截 携带 ONS 信息 的 IP 数据 包 。 

(2) 查询 预测 : 操纵 ONS 协议 的 查询 /回答 方案 。 

(3) 缓存 中 毒 : 注入 被 操纵 的 信息 进入 ONS 缓存 。 

(4) DoS 攻击 : 即 拒绝 服务 攻击 , 透 过 大 量 合法 或 伪造 的 请 求 占 用 大 量 网 络 以 及 器 材 
资源 ,以 达到 瘫痪 网 络 以 及 系统 的 目的 。 

3) 病毒 攻击 

RFID 电子 标签 的 存储 器 中 包括 了 许多 重要 信息 ,数据 的 长 度 从 几 个 字 节 到 几 千 个 字 
节 。 其 中 存储 额外 信息 的 空间 有 可 能 被 重 写 。 由 于 标签 传送 的 信息 被 绝对 信任 ,因此 带 来 
了 安全 隐患 。 

(1) 缓存 溢出 。 

这 是 应 用 软件 常见 的 安全 隐患 之 一 。 在 C++ 语言 中 ,由 于 输入 的 长 度 不 被 检查 ,因此 攻 
击 者 可 以 引入 超出 正常 长 度 的 输入 ,甚至 超出 变量 的 缓存 区 域 。 当 程序 控制 代码 位 于 邻近 
数据 缓存 的 存储 区 域 时 ,缓存 溢出 有 可 能 会 导致 程序 执行 某 段 恶意 代码 。 

(2) 编码 植 入 。 

攻击 者 可 能 使 用 某 种 脚本 语言 (CGI、Java、Perl 等 ) 将 恶意 代码 注入 一 个 应 用 软件 中 。 
带 有 注入 脚本 语言 代码 的 电子 标签 可 能 会 执行 这 些 代码 ,从 而 使 RFID 系统 受到 攻击 。 

(3) 结构 化 查询 语言 注入 。 

指 在 数据 库 中 执行 非 授 权 的 结构 化 查询 (SQL 查询 )。 这 类 攻击 的 主要 目的 是 分 析 数 
据 库 结构 、 检 索 数据 、 进 行 非 授权 的 修改 或 删除 。RFID 标签 有 可 能 被 注入 包含 SQL 攻击 
的 恶意 代码 。 


86 


MV 


物 联网 安全 技术 


4.1.7 RFID 系统 的 安全 机 制 


RFID 系统 的 安全 机 制 可 以 分 为 三 大 类 : 物理 安全 机 制 、 密 码 安 全 机 制 以 及 两 者 相 结合 
的 安全 机 制 。 


1. 物理 安全 机 制 


物理 安全 机 制 通常 用 于 低 成 本 标签 中 ,因为 这 些 标签 难以 采用 复杂 的 密码 机 制 来 实现 
与 读 写 器 之 间 的 安全 通信 。 物 理 机 制 主要 包括 五 大 类 : 杀 死 命令 机 制 、 休 了 眠 机 制 、 阻 塞 机 
制 .静电 屏蔽 和 主动 干扰 等 。 

1) 杀 死 命令 机 制 

杀 死 (Kill) 命 令 机 制 是 解决 信息 泄露 的 一 种 简单 方法 。 这 种 方法 是 从 物理 上 毁坏 标 
签 ,一 旦 对 电子 标签 下 达 了 杀 死 (Kill) 命 令 , 电 子 标签 便 处 于 失效 状态 ,不 能 被 再 次 使 用 。 
执行 了 杀 死 命令 之 后 ,标签 便 终 止 了 其 生命 ,不 能 再 发 送 或 接收 数据 ,这 是 一 个 不 可 逆 的 操 
作 。 为 了 防止 标签 被 非法 杀 死 ,通常 都 需要 进行 口令 认证 。 

在 实际 应 用 中 , 当 超 市 结账 时 ,可 以 使 用 Kill 命令 杀 死 粘贴 在 商品 上 的 电子 标签 ,以 表 
明 该 商品 已 经 出 售 。 然 而 ,在 商品 出 售 之 后 ,还 有 可 能 遇 到 反 向 物流 的 问题 ,例如 退货 、 维 
修 、 召 回 等 ,如 果 电 子 标签 已 经 被 杀 死 ,RFID 标签 就 不 可 能 被 再 次 利用 。 为 此 ,IBM 公司 开 
发 出 一 种 的 可 裁剪 标签 。 结 账 时 可 以 将 RFID 标签 的 天 线 刊 除 ,从 而 缩短 标签 可 阅读 的 距 
离 ,使 标签 不 能 被 远 距 离 读 取 。 再 次 使 用 该 标签 时 ,虽然 天 线 已 经 不 能 再 使 用 ,但 是 读 写 器 
仍 能 在 近 距 离 读 取 标 签 。 这 样 , 当 消费 者 需要 退货 时 , 仍 可 以 从 RFID 标签 中 读 出 相关 的 

2) 休眠 机 制 

休眠 (Sleeping) 机 制 是 使 得 电子 标签 进入 睡眠 状态 ,而 不 是 死亡 。 处 于 睡眠 状态 的 电 
子 标签 ,以 后 还 可 以 通过 唤醒 命令 将 其 唤醒 。 

采用 休眠 机 制 ,休眠 中 的 RFID 标签 虽然 不 再 响应 读 写 命令 ,但 是 如 果 收 到 唤醒 命令 并 
且 口 令 正确 ,标签 就 可 以 被 唤醒 ,重新 激活 ,就 能 够 再 次 投入 使 用 。 

对 于 某 些 商 品 , 消 费 者 往往 希望 在 保持 隐私 的 前 提 下 ,还 能 够 继续 读 取 和 利用 标签 中 的 
信息 。 例 如 ,粘贴 在 食品 上 的 休眠 中 的 标签 并 未 失效 , 当 它 被 唤醒 后 ,安装 在 家 用 智能 电 冰 
箱 中 的 RFID 读 写 器 可 以 自动 识别 RFID 标签 中 存储 的 食品 的 类 别 、 数 量 、 有 效 期 等 相关 信 
息 , 如 果 食 品 即将 到 期 或 者 已 经 过 期 ,就 会 提醒 主人 取出 过 期 的 食品 。 

3) 阻塞 机 制 

阻塞 (Blocking) 机 制 通过 标签 中 特定 隐私 位 来 限制 读 写 器 对 电子 标签 的 访问 。 如 果 隐 
私 位 为 0, 表示 标 签 是 公开 的 ,可 以 接受 读 写 器 的 访问 ; 如 果 隐 私 位 为 1, 则 表示 标签 是 保密 
的 ,不 能 够 被 读 写 器 访问 。 从 工厂 生产 出 的 某 件 产品 贴 上 RFID 标签 起 一 直到 该 产品 出 售 
之 前 , 即 该 产品 在 仓库 .运输 途中 、 超 级 市 场 的 货架 的 时 候 , 其 隐私 位 设置 为 0。 此 时 ,任何 
读 写 器 都 可 以 扫描 产品 的 RFID 标签 。 当 消费 者 购买 了 贴 有 标签 的 该 产品 时 ,销售 终端 设 
备 将 隐私 位 设置 为 1, 从 而 限制 读 写 器 对 电子 标签 的 访问 。 

4) 静电 屏蔽 

静电 屏蔽 (Electrostatic Shielding) 也 称 为 法 拉 第 网 由 (Faraday Cage) 屏 蔽 。 由 于 无 线 


电波 会 被 金属 材料 做 成 的 屏蔽 网 屏蔽 ,因此 可 以 将 贴 有 RFID 标签 的 商品 放 和 人 由 金属 网 罩 


或 金属 稍 片 组 成 的 容器 中 ,从 而 阻止 标签 与 非法 读 写 器 之 间 的 通信 。 然 而 ,由 于 每 一 件 商 品 
都 需要 一 个 网 日 ,因此 静电 屏蔽 会 增加 成 本 。 
5) 主动 干扰 


主动 干扰 法 是 标签 用 户 通过 一 个 设备 主动 广播 无 线 电 信号 用 于 阻止 或 破坏 附近 的 非法 
RFID 读 写 器 的 窃听 攻击 。 但 是 这 一 方法 也 可 能 干扰 附近 的 合法 RFID 系统 的 正常 读 写 ,其 
至 会 阻塞 附近 的 无 线 电信 号 ,对 其 他 通信 系统 造成 干扰 。 


2. 密码 安全 机 制 


RFID 系统 的 密码 安全 机 制 是 指 利用 各 种 成 熟 的 加 密 算法 和 安全 机 制 , 来 设计 和 实现 
符合 RFID 系统 的 安全 需求 。 近 年 来 ,研究 者 们 提出 了 很 多 低 成 本 的 安全 认证 协议 ,例如 
hash-lock( 喻 希 锁 ) 协 议 、 随 机 化 hash-lock( 随 机 化 喻 希 锁 ) 协 议 、.hash-chain( 喻 希 链 ) 协 议 、 
Hash 函数 构造 算法 、 基 于 矩阵 密 钥 的 认证 协议 数字 图 书馆 协议 等 。 以 下 将 对 这 些 认证 协 
议 作 简要 介绍 。 

1) 哈 希 锁 (Hash-Lock) 协 议 

哈 希 锁 协议 最 早 由 Sarma 等 学 者 提出 , 它 是 一 种 基于 单 向 喻 希 (Hash) 函 数 的 加 密 机 
制 。 每 一 个 具有 喻 希 锁 的 标签 中 ,都 有 一 个 喻 希 函 数 , 并 存储 一 个 临时 的 标识 metaID。 基 
于 哈 希 锁 协 议 的 标签 ,可 以 工作 在 锁定 或 非 锁定 两 种 状态 。 当 具有 喻 希 锁 的 标签 处 于 锁定 
状态 时 ,针对 读 写 器 对 其 进行 查询 的 请 求 ,仅仅 回复 标识 metaID; 只 有 标签 处 于 非 锁定 状 
态 时 ,针对 读 写 器 对 其 进行 查询 的 请 求 ,标签 才 会 向 读 写 器 提供 除了 标识 metaID 以 外 的 完 

基于 哈 希 锁 协 议 的 认证 过 程 如 图 4-2 所 示 。 


1.Query 


; ID 
me 2. metalD 


读 写 器 5. key 标签 
Fa 
4.key, ID 


(metalD, key, ID) (metalD, ID) 
4-2 ”基于 险 希 锁 协 议 的 认证 过 程 


基于 哈 希 锁 协 议 的 认证 过 程 的 步骤 如 下 : 

(1) 读 写 器 向 标签 发 送 认 证 请 求 Query, 即 向 标签 问 询 其 标识 。 

(2) 标签 将 metalID 发 送 给 读 写 器 。 

(3) 读 写 器 将 metaID 转发 到 后 台数 据 库 。 

(4) 后 台数 据 库 查 询 自 己 的 数据 ,如 果 能 找到 与 metaID 匹配 的 项 , 则 将 该 项 的 (key， 
ID) 发 送 给 读 写 器 ,其 中 ID 为 待 认证 标签 的 标识 ; 否则 ,返回 给 读 写 器 认证 失败 信息 。 

(5) 读 写 器 将 从 后 台数 据 库 接收 的 解锁 信息 key 发 送 给 标签 。 
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(6) 标签 验证 metaID 王 Hash(key) 是 否 成 立 , 如 果 成 立 , 则 对 读 写 器 的 认证 通过 ,标签 
将 其 ID 发 送 给 读 写 器 ; 否则 认证 失败 。 

(7) 读 写 器 比较 从 标签 接收 到 的 ID 是 否 与 后 台数 据 库 发 送 过 来 的 ID 一 致 ,如 果 一 致 ， 
则 对 标签 的 认证 通过 ; 否则 认证 失败 。 

喻 希 锁 协 议 的 优点 是 标签 运算 量 小 ,数据 库 查询 快 ,并 且 可 以 实现 标签 对 读 写 器 的 认 
证 。 但 是 其 安全 漏洞 也 比较 多 : 没有 ID 动态 刷新 机 制 , 且 metaID 保持 不 变 ,并 以 明文 传 
送 , 因 此 标签 很 容易 被 跟踪 、 窍 听 和 克隆 ; 此 外 , 重 放 攻 击 、 中 间 人 攻击 、 拒 绝 服 务 攻击 等 均 
可 实施 。 由 于 存在 这 些 漏 洞 , 因 此 其 安全 性 不 高 ,不 能 完全 达到 保护 ID 不 产生 泄漏 的 目标 。 

2) 随机 喻 希 锁 (Random Hash-Lock) 协 议 

随机 哈 希 锁 协 议 最 早 由 Weis 等 学 者 提出 。 它 将 原来 的 哈 希 锁 协 议 加 以 改进 ,把 原来 
取 固 定数 值 的 标识 metaID 进行 加 密 , 使 之 变 成 随机 的 数值 ,不 停 地 变化 ,从 而 避免 攻击 者 
的 追踪 。 标 签 中 除了 Hash 函数 以 外 ,还 戏 入 了 伪 随 机 数 发 生 器 ,在 后 台数 据 库 存储 所 有 标 
签 的 ID , 它 采 用 了 基于 随机 数 的 询问 -应 答 机 制 。 即 由 认证 方 询问 ,被 认证 方 回答 。 如 果 回 
答 正 确 , 则 说 明 被 认证 方 的 身份 合法 ,可 以 通过 认证 ; 否则 ,如 果 回 答 错 误 , 则 说 明 被 认证 方 
身份 有 误 ,无 法 通过 认证 。 

基于 随机 哈 希 锁 协 议 的 认证 过 程 如 图 4-3 所 示 。 


1.Query 
3. Get all IDs 
数据 库 读 写 器 | 标签 
4.1D1ID2,…:IDn 
5.IDj 
(ID) (ID) 
图 4-3 基于 随机 哈 希 锁 协 议 的 认证 过 程 


基于 随机 哈 希 锁 协 议 的 认证 步骤 如 下 : 

(1) 读 写 器 向 标签 发 送 认 证 请 求 Query, 即 向 标签 问 询 其 标识 。 

(2) 标签 生成 一 个 随机 数 尺 ,计算 Hash(IDk||1R), 其 中 IDk 为 标签 的 标识 。 标 签 将 
(R,Hash(IDk| |R)) 发 送 给 读 写 器 。 

(3) 读 写 器 向 后 台数 据 库 请 求 获 得 所 有 标签 的 标识 。 

(4) 后 台数 据 库 将 自己 数据 库 中 的 所 有 标签 的 标识 (ID1,1ID2,… ,IDn) 发 送 给 读 写 器 。 

(5) 读 写 器 检查 是 否 有 某 个 IDj(1 志 jn) ,使 得 Hash(ID||R) 成 立 ; 如 果 有 , 则 对 标签 
的 认证 通过 ,并 且 将 这 个 ID 发 送 给 读 写 器 ; 否则 认证 失败 。 

(6) 标签 验证 。 检 查 IDj 与 IDk 是 否 相 同 , 如 果 相 同 则 对 读 写 器 的 认证 通过 ,否则 认证 
失败 。 

随机 哈 希 锁 协 议 也 采取 双向 认证 ,虽然 消息 2 随机 变化 ,但 是 在 认证 过 程 中 仍然 存在 安 
全 漏洞 : 认证 通过 后 的 标签 标识 IDj 仍 以 明文 的 形式 在 不 安全 信道 传送 ,攻击 者 仍然 可 以 
对 标签 进行 追踪 。 并 且 ,一旦 获得 了 标签 的 标识 IDj. 攻 击 者 就 可 以 对 标签 进行 假冒 。 


此 ,随机 哈 希 锁 协 议 也 并 不 安全 。 此 外 ,每 一 次 标签 认证 时 ,后 台数 据 库 都 需要 将 所 有 标签 
的 标识 发 送 给 读 写 器 ,两 者 之 间 的 数据 通信 量 很 大 ,所 以 效率 比较 低 。 

3) 哈 希 链 (Hash-Chain) 协 议 

哈 希 链 协议 是 一 种 共享 秘密 的 “询问 -应 答 ? 协 议 。 当 不 同 的 读 写 器 发 起 认证 请 求 时 ,如 
果 读 写 器 中 的 Hash 函数 不 同 , 则 标签 的 应 答 就 不 同 , 其 认证 过 程 如 图 4-4 所 示 。 


1. Query 
数据 库 Ne 标签 
A FG(H A(S,) 读 写 器 S, +1=HS,) 
2.4, FG(S, )) 
QD, 8,) (8) 


图 4-4 基于 哈 希 链 协议 的 认证 过 程 


在 系统 运行 之 前 ,电子 标签 和 后 台数 据 库 首先 要 共享 一 个 初始 密 钥 S,,; ,标签 与 读 写 器 
之 间 执 行 第 j 次 Hash-Chain 协议 的 过 程 如 下 : 

(1) 读 写 器 向 标签 发 送 认 证 请 求 Query, 即 向 标签 问 询 其 标识 。 

(2) 标签 使 用 当前 的 密 钥 S, 计算 A,=G(S, )( 注 : G 也 是 一 个 安全 的 Hash 函数 )， 
并 更 新 其 密 钥 为 5S,,+1 二 Hash(S,,) ,标签 将 A 发 送 给 读 写 器 。 

(3) 读 写 器 将 A,,, 转 发 给 后 台数 据 库 。 

(4) 后 台数 据 库 针对 所 有 的 标签 数据 项 ,查找 并 计算 是 否 存 在 某 个 IDi(1 志 1<n) 和 是 
否 存在 某 一 个 j(1 三 j 三 m) ,其 中 m 为 系统 预先 设 定 的 最 大 链 长 度 ,使 得 A,; 一 GCE-: 
(S41)) 成 立 , 如 果 有 , 则 认证 通过 ,并 将 ID: 发 送 给 标签 ; 否则 ,认证 失败 。 

由 于 G 函数 是 单 向 函数 ,攻击 者 观察 到 的 A, 与 Au+i 是 不 可 关联 的 ,因此 哈 希 链 协议 
实现 了 不 可 追踪 性 。 但 是 哈 希 链 协议 仍然 容易 受到 假冒 和 重 传 攻击 ,只 要 攻击 者 截获 某 个 
A., 就 可 以 进行 重 传 攻击 ,伪装 成 合法 的 标签 。 每 次 认证 时 ,后 台 都 要 对 每 个 标签 进行 /次 
Hash 计算 ,运算 量 比较 大 。 此 外 ,协议 至 少 需要 两 个 Hash 函数 ,增加 了 硬件 的 成 本 。 

4) 哈 希 函数 构造 算法 

哈 希 函数 构造 算法 最 早 由 中 国学 者 杨 骅 等 人 提出 ,其 实现 流程 如 图 4-5 所 示 。 

哈 希 函数 构造 算法 最 终 要 生成 可 供 RFID 进行 安全 认证 的 16 位 哈 希 (Hash) 值 。 算 法 
共 选 取 4 个 映射 ,分 别 为 帐篷 映射 .立方 映射 . 锯 此 映射 和 虫口 映射 。 将 每 两 个 映射 作为 一 
组 , 共 可 以 组 成 6 组。 映射 组 合 的 选择 由 读 写 器 通过 命令 参数 传递 给 标签 。 读 写 器 发 送 命 
令 给 标签 。 标 签 根据 读 写 器 命令 中 的 参数 ,在 存储 区 域 选 择 数据 作为 计算 Hash 值 的 初 值 ， 
计算 出 Hash 值 回 传 给 读 写 器 。 在 RFID 系统 中 ,可 以 利用 标签 的 ID 号 或 其 他 存储 内 容 作 
为 初始 的 消息 数 。 把 N 个 初 值 元 素平 分 为 2 组 ,每 组 元 素 选择 不 同 映射 各 迭代 m/2 次 , 交 
换 映 射 后 再 迭代 mm/2 次 ,每 个 元 素 共 迭代 了 m 次 。 将 奇数 位 置 上 的 数组 元 素 ( 第 1,3,5… 
数组 元 素 ) 进 行 按 位 异 或 运算 ,经 过 N/2 一 1 次 异 或 运算 ,得 到 位 数值 ; 同 理 ,偶数 位 上 的 
数组 元 素 ( 第 2,4,6… 数 组 元 素 ) 也 可 以 得 到 位 数值 ,将 两 个 位 数值 分 别 映射 为 8bit 数 
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存储 区 ( 喘 射 初始 数据 ) ) 


选择 映射 


功 


前 N/2 个 数据 映射 人 映射 B 后 M2 个 数据 


前 M2 个 数据 - 后 M2 个 数据 


混沌 序列 


1 
序列 数组 奇 元 素 异 或 序列 数组 偶 元 素 异 或 
1 
映射 为 16 位 / 
1 
Hash 值 


图 4-5 ”Hash 函数 构造 算法 流程 


值 ,最 终 组 合成 16 位 的 Hash 值 。 

哈 希 函数 构造 算法 基于 混沌 映射 ,通过 4 个 混沌 映射 构造 出 6 种 组 合 ,RFID 系统 可 以 
灵活 选择 映射 组 合 ,从 而 构造 安全 认证 需要 的 Hash 值 。 该 算法 实现 了 较 低 的 复杂 度 ,可 以 
在 芯片 面积 \ 功 耗 、. 速 度 方面 满足 RFID 标签 芯片 要 求 ; 同时 由 于 混沌 系统 固有 的 特点 ,使 
算法 对 初 值 有 高 度 敏感 性 ,具有 很 好 的 单 向 Hash 函数 性 能 ,满足 了 RFID 系统 的 安全 性 
要 求 。 

5) 基于 和 矩阵 密 钥 的 认证 协议 

基于 矩阵 密 钥 的 认证 协议 最 早 由 中 国学 者 裴 友 林 等 人 提出 。 该 协议 的 特点 是 以 双 和 矩阵 
作为 密 钥 。 当 进行 加 密 时 ,由 明文 与 密 钥 矩阵 相 乘 得 到 密 文 ; 当 解 密 时 , 则 由 密 文 与 密 钥 逆 
矩阵 相 乘 来 还 原 明 文 。 其 算法 实现 流程 如 图 4-6 所 示 。 

在 基于 双 和 矩阵 密 钥 的 RFID 双向 认证 协议 中 ,每 个 标签 的 认证 过 程 中 需要 使 用 2 个 矩 
阵 密 钥 , 记 为 Kl 和 天: ,K, 和 K; 是 nn 阶 可 北方 阵 。Ki .Ks 分 别 是 其 逆 方 阵 。 标 签 中 存储 密 
值 S 和 2 个 矩阵 Ki 及 K;。 密 值 S 是 长 度 为 gq 的 向 量 ,.g 二 mXn,m 是 正 整 数 。 

后 台数 据 库 为 每 个 标签 存储 (X,S,Ki ,Ks) 这 样 的 记录 ,XX 表示 该 标签 记录 在 数据 库 中 
的 索引 。 义 是 长 度 为 gq 的 向 量 ,其 值 可 通过 对 Kl 和 S 进行 下 列 运算 得 到 : 将 S 划分 成 
个 长 度 为 n 的 向 量 ,S= (Si ,Ss,…,S;,…,S,), 则 站 = (Xi ,Xs，…,X;,…, 义 ,) ,其 中 S; 和 
XX; 是 长 度 为 n 的 向 量 征 六 ;一 KiS;(1<i<<m)。 
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1. Query 
2. ES 标签 
SS 
6 于 交 
4. 选择 Swew NT 
计算 7,2.3 ES 
(5, Ki, Ka) 
(X, 5, Ki', Ks ) 


4-6 基于 矩阵 密 钥 的 认证 协议 


基于 和 矩阵 密 钥 的 认证 协议 的 认证 步骤 如 下 : 

初始 化 时 ,为 每 个 标签 随机 选择 可 北方 阵 K， 和 天: 。 选 择 唯 一 的 X, 并 根据 X 值 ,计算 
K1'X ,得 到 密 值 S。 将 这 些 信 息 存储 进 标签 和 数据 库 。 

(1) 读 写 器 向 标签 发 送 Query 认证 请 求 。 

(2) 标签 计算 X=KS, 将 X 发 送 给 读 写 器 。 

(3) 读 写 器 将 转发 给 后 台数 据 库 。 

(4) 后 台数 据 库 搜索 数 据 , 找 到 相应 的 X。 计 算 KX ,并 验证 此 值 与 $ 是 否 相 同 。 如 果 
不 同 , 则 认证 不 通过 ; 如 果 相 同 , 则 选择 使 Xoew 唯 一 的 Su ,计算 Y= 二 KS$,Z 二 KzSwew ,更 新 
S。 将 Y,Z 发 送 给 读 写 器 。 

(5) 读 写 器 将 Y,Z 转发 给 标签 。 

(6) 标签 计算 Ks'Y, 验 证 此 值 是 否 与 S$ 相同。 如 果 不 同 ,认证 不 通过 ; 相同 ,计算 KsZ， 
并 将 $ 更 新 为 此 值 。 

基于 密 钥 矩阵 的 安全 认证 协议 ,在 保证 标签 隐私 安全 的 前 提 下 ,提高 了 认证 的 执行 效率 
及 应 用 成 本 。 但 此 协议 还 有 不 足 之 处 ,标签 中 存储 信息 量 较 大 。 此 外 ,需要 做 到 标签 中 信息 
和 后 台数 据 库 的 同步 更 新 ,不 适用 于 分 布 式 环境 。 

6) 改进 型 David 数字 图 书馆 协议 

改进 型 David 数字 图 书馆 协议 最 早 由 中 国学 者 郭 维 等 人 提出 ,其 工作 原理 如 图 4-7 
所 示 。 


1. (Query, RD 


2. Ri,6=ID@®f.(0, Rr, RD 
oe————————+i 


标签 
4. fID,@f(1, Rr, R7) SA | 
对 所 有 (s, ID) a 
检查 ID， ee 


(ID, s) 
4-7 改进 型 David 数字 图 书馆 协议 


系统 运行 之 前 ,后 台数 据 库 和 每 一 个 标签 之 间 需 要 预先 共享 一 个 秘密 值 ;。 标 签 中 有 
一 个 Rr 值 , 用 来 存放 一 个 模拟 的 随机 数 。 其 中 f, 是 带 密 钥 的 Hash 函数 ,f+ 和 /分 别 表 
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示 其 运算 结果 的 左 部 分 和 右 部 分 ,即将 Hash 值 一 分 为 二 。 该 协议 的 执行 过 程 如 下 : 

(1) 读 写 器 生成 一 个 秘密 随机 数 Rr ,并 向 标签 发 送 (Query,Rr) 认 证 请 求 。 

(2) 标签 使 用 自己 的 ID、 秘 密 值 ; 和 预存 的 模拟 随机 数 Re ,计算 ==ID@ /1 (0,Re， 
Rr) ,标签 将 (Rr,6) 发 送 给 读 写 器 ,然后 刷新 Re 为 Re 一 六 (0,RR,Rr)。 

(3) 读 写 器 将 (Rr,6) 转 发 给 后 台数 据 库 。 

(4) 后 台数 据 库 查询 自己 的 数据 库 , 如 果 找 到 某 个 ID; (1 二 j 二 nn) ,使 得 6=ID; 中 f+ (0， 
Rr ,Rr) 成 立 ; 则 认证 通过 ,并 计算 8 二 ID; 外 /1 (1 ,Re ,Rr) ,然后 将 B 发 送 给 读 写 器 ; 否则 返 
回 给 读 写 器 认证 失败 信息 。 

(5) 读 写 器 将 8 转发 送 给 标签 。 

(6) 标签 验证 人 D 二 B 田 f+ (1,Re,Rr) 是 否 成 立 。 如 果 成 立 , 则 认证 通过 ; 否则 认证 
失败 。 

由 于 Rr 是 由 读 写 器 生成 的 , 故 具 有 随机 性 ,而 Re= 六 (0,RR,Rr), 故 Re 也 具有 随机 
性 ,攻击 者 无 法 事先 获得 Re。 这 是 该 协议 的 关键 ,将 原来 由 标签 中 专门 设置 伪 随 机 数 函数 
来 生成 伪 随 机 数 转 为 直接 由 Hash 函数 来 生成 的 伪 随 机 数 Re ,从 而 减少 了 标签 中 用 来 实现 
伪 随 机 数 函 数 的 电路 模块 ,大 大 地 降低 了 成 本 。 

由 于 6==ID 加 /+ (0,Rg .Rr) 中 含有 不 可 预知 的 随机 数 Rr , 故 每 次 通信 时 ,6 都 具有 随机 
性 ,所 以 无 法 跟踪 ,保护 了 隐私 性 。 


@.2 无 线 传感器 网 络 安全 


4.2.1 无 线 传感器 网 络 概述 


无 线 传感器 网 络 (Wireless Sensor Networks, WSN) 是 由 部 署 在 监测 区 域内 大 量 的 廉 
价 微型 传感器 结 点 组 成 ,并 通过 无 线 通信 方式 形成 的 一 个 多 跳 的 、 自 组 织 的 网 络 系统 ,其 目 
的 是 协作 地 感知 ,采集 和 处 理 网 络 覆盖 区 域 中 被 感知 对 象 的 信息 ,并 发 送 给 观察 者 。 传 感 
器 ,感知 对 象 和 观察 者 构成 了 无 线 传感器 网 络 的 三 个 要 素 。 

微机 电 系 统 (Micro-Electro-Mechanism System,MEMS) .片上 系统 (System On Chip， 
SOC) ,无 线 通 信和 低 功 耗 嵌 和 人 式 技术 的 飞速 发 展 , 孕 育 了 无 线 传 感 器 网 络 。 无 线 传感器 网 
络 以 其 低 功 耗 、 低 成 本 ,分 布 式 和 自 组 织 的 特点 带 来 了 信息 感知 领域 的 一 场 变革 。 

许多 学 者 认为 ,无线 传感器 网 络 技术 的 重要 性 可 与 因特网 相 媲美 。 正 如 互联 网 使 得 计 
算 机 能 够 访问 各 种 数字 信息 而 可 以 不 管 其 保存 在 什么 地 方 一 样 ,传感器 网 络 将 能 扩展 人 们 
与 现实 世界 进行 远程 交互 的 能 力 。 它 甚至 被 人 们 称 为 一 种 全 新 类 型 的 计算 机 系统 ,这 是 因 
为 它 具 有 区 别 于 过 去 硬件 的 、 可 以 到 处 散布 的 特点 和 集体 分 析 能 力 。 

无 线 传感器 网 络 具有 众多 不 同类 型 的 传感器 ,可 以 探测 包括 地 震 . 电 磁 、 温 度 .湿度 、 噪 
声 、 光 强度 、 压 力 、 土 壤 成 分 移动 物体 的 大 小 、 速 度 和 方向 等 周边 环境 中 多 种 多 样 的 物理 量 
和 化 学 量 。 基 于 MEMS 的 微 传 感 技术 和 无 线 网 络 技 术 , 为 无 线 传感器 网 络 赋予 了 广阔 的 应 
用 前 景 。 这 些 光 在 的 应 用 领域 可 以 归纳 为 军事 .航空 反 恺 防爆 救灾、 环境 医疗、 保健 、 家 
居 工业、 商业 等 领域 。 
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4.2.2 无 线 传感器 网 络 的 发 展 历程 


到 目前 为 止 , 无 线 传感器 网 络 的 发 展 历程 共 经 历 了 三 个 阶段 : 传感器 一 无 线 传 感 器 一 
无 线 传感器 网 络 。 

第 一 阶段 : 传感器 网 络 最 早 可 以 追溯 至 越战 时 期 美国 军 方 使 用 的 传感器 系统 。 当 年 ， 
美 越 双 方 在 密林 覆盖 的 “胡志明 小 道 ? 进 行 了 一 场 血腥 的 较量 “胡志明 小 道 ? 是 越南 部 队 向 
南方 游击 队 输送 军事 物资 的 秘密 通道 ,美军 对 其 进行 了 狂 又 小 炸 ,但 是 效果 不 大 。 后 来 , 美 
军 投放 了 2 万 多 个 “热带 树 ” 传 感 器.“ 热 带 树 ” 实 际 上 是 由 震动 和 声响 传感器 组 成 的 系统 ， 
它 由 飞机 投放 ,落地 后 插入 泥土 中 ,只 露出 伪装 成 树枝 的 无 线 电 天 线 , 因 而 被 称 为 “热带 树 ”。 
一 旦 越 方 的 车 队 经 过 ,传感器 就 能 探测 出 目标 产生 的 震动 和 声响 信息 ,并 自动 发 送 到 指挥 中 
心 ,引导 美方 的 军机 针对 目标 准确 地 展开 友 炸 。 在 这 场 战争 中 ,美军 总 共 炸 毁 或 炸 坏 了 越南 
部 队 4. 6 万 辆 卡车 。 

第 二 阶段 : 位 于 20 世纪 80 一 90 年 代 , 主 要 是 美军 研制 的 分 布 式 传感器 网 络 系统 ,海军 
协同 交战 能 力 系统 、 远 程 战场 传感器 系统 等 。 这 种 现代 微型 化 的 传感器 同时 具备 感知 能 力 、 
计算 能 力 和 通信 能 力 。 在 1999 年 ,美国 (商业 周刊 )(Businessweek) 杂 志 将 传感器 网 络 列 为 
21 世纪 最 具 影 响 的 21 项 技术 之 一 。 

第 三 阶段 : 从 21 世纪 开始 至 今 ,也 就 是 美国 "9。11” 事 件 之 后 。 这 个 阶段 的 传感器 网 
络 技术 特点 在 于 网 络 传输 自 组 织 . 结 点 设计 低 功 耗 。 除 了 应 用 于 反恐 活动 以 外 ,在 其 他 领域 
也 获得 了 很 好 的 应 用 ,所 以 2002 年 美国 国家 重点 实验 室 一 一 橡树 岭 实 验 室 提出 了 “网 络 就 
是 传感器 ”的 论断 。 

在 现代 意义 上 的 无 线 传感器 网 络 研究 及 其 应 用 方面 ,我 国 与 发 达 国 家 几乎 同步 启动 , 它 
已 经 成 为 我 国信 息 领 域 位 居 世 界 前 列 的 少数 方向 之 一 。 在 2006 年 我 国 发 布 的 (国家 中 长 期 
科学 与 技术 发 展 规划 纲要 》 中 ,为 信息 技术 确定 了 三 个 前 沿 方向 ,其 中 有 两 项 就 与 无 线 传 感 
器 网 络 直接 相关 ,这 就 是 智能 感知 和 自 组 网 技术 。 当 然 ,传感器 网 络 的 发 展 也 是 符合 计算 设 
备 的 演化 规律 的 。 


4.2.3 无 线 传感器 网 络 的 系统 结构 


无 线 传感器 网 络 系统 通常 包括 无 线 传感器 结 点 .网 络 协调 器 和 中 央 控 制 器 。 大 量 无 线 
传感器 结 点 随机 部 署 在 监测 区 域内 部 或 附近 ,这 一 过 程 可 以 通过 飞机 搬 播 人工 掩 埋 或 火箭 
发 射 等 方式 实现 。 无 线 传感器 能 够 通过 自 组 织 方式 构成 网 络 。 传 感 器 结 点 监测 的 数据 沿 着 
其 他 传感器 结 点 逐 跳 地 进行 传输 ,在 传输 过 程 中 监测 数据 可 能 被 多 个 结 点 处 理 以 提高 处 理 
效率 ,监测 数据 经 过 多 跳 后 传输 到 汇聚 结 点 ,最 后 通过 互联 网 或 卫星 到 达 中 央 控 制 点 。 用 户 
通过 中 央 控 制 点 对 传感器 网 络 进行 配置 和 管理 ,发 布 监测 任务 以 及 收集 监测 数据 。 典 型 的 
无 线 传感器 网 络 的 系统 结构 如 图 4-8 所 示 。 

在 各 种 无 线 传感器 网 络 中 ,传感器 数据 采集 及 传输 常用 的 方式 主要 有 周期 性 采样 事件 
驱动 和 存储 与 转发 。 实 现 其 技术 的 网 络 拓扑 结构 也 分 为 3 种 : 星 型 网 .网 型 网 和 混合 网 ( 星 
型 网 十 网 型 网 ) 。 每 一 种 拓扑 网 络 结构 都 有 其 各 自 的 优点 和 缺点 ,应当 充 分 了 解 这 些 网 络 的 
特点 ,以 满足 各 种 不 同 应 用 的 实际 需求 ,如 图 4-9 所 示 。 
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监测 区 域 


中 央 控制 点 


图 4-8 无 线 传感器 网 络 的 系统 结构 


pa 


(a) 星 型 网 络 (b) 网 型 网 络 


(0) 星 型 -网 型 混合 网 络 
图 4-9 无 线 传感器 网 络 拓扑 结构 


1. 星 型 无 线 传 感 器 网 络 的 拓扑 结构 


图 4-9(a) 表 示 采 用 星 型 拓扑 结构 的 无 线 传感器 网 络 ,其 中 心 结 点 可 以 是 Wi-Fi 接 入 点 、 
WiMAX 基站 、 蓝 牙 主 设备 或 ZigBee PAN 协调 器 ,其 作用 与 有 线 局 域 网 中 的 交换 机 类 似 ， 
采用 不 同 的 无 线 网 络 技术 ,其 中 心 控制 结 点 的 功能 也 各 有 不 同 。 星 型 拓扑 结构 是 一 种 单 跳 
系统 ,网 络 中 所 有 无 线 传感器 都 与 基站 、 网 关 或 汇聚 结 点 进行 双向 通信 。 基 站 可 以 是 一 台 计 
算 机 、 手 机 、PDA、 专 用 控制 设备 .嵌入 式 网 络 服务 器 ,或 其 他 与 高 数据 率 设备 通信 的 网 关 ， 


网 络 中 各 传感器 结 点 基本 相同 。 除 了 向 各 结 点 传输 数据 和 命令 外 ,基站 还 与 互联 网 等 更 高 
层 系 统 传输 数据 。 各 结 点 将 基站 作为 一 个 中 间 点 ,相互 之 间 并 不 传输 数据 或 命令 。 在 各 种 
无 线 传感器 网 络 中 , 星 型 网 整体 功 耗 最 低 , 但 结 点 与 基站 间 的 传输 距离 有 限 , 通 常 ISM 频段 
的 传输 距离 约 为 10 一 30 米 。 


2. 网 型 无 线 传感器 网 络 的 拓扑 结构 


图 4-9(b) 表 示 采 用 网 型 拓扑 结构 的 无 线 传感器 网 络 。 网 型 无 线 传感器 网 络 也 称 为 移 
动 Adhoc 网 络 ,属于 无 线 局 域 网 或 者 无 线 城 域 网 ,网 络 中 的 结 点 可 以 移动 ,而 且 可 以 直接 与 
相 邻 结 点 通信 而 不 需要 中 心 控制 设备 。 因 为 结 点 可 以 随时 进入 或 者 离开 网 络 , 所 以 网 型 无 
线 传感器 网 络 的 拓扑 结构 也 在 不 停 地 变化 。 数 据 包 从 一 个 结 点 到 另 一 个 结 点 直至 目的 地 的 
过 程 称 为 " 跳 ”。 网 型 无 线 传感器 网 络 是 一 个 多 跳 系统 ,其 中 所 有 无 线 传感器 结 点 都 相同 ,而 
且 可 以 互相 通信 ,经 过 其 他 结 点 与 基站 进行 通信 ,传输 数据 和 命令 。 由 于 网 型 网 络 的 每 一 个 
传感器 结 点 都 有 多 条 路 径 到 达 网 关 或 其 他 结 点 ,因此 它 的 容错 能 力 比较 强 。 网 型 网 络 比 星 
型 网 络 的 传输 距离 远 得 多 ,但 功 耗 也 更 大 ,因为 结 点 必须 一 直 * 监 听 ” 网 络 中 某 些 路 径 上 的 信 
息 和 变化 。 


3. 混合 型 无 线 传感器 网 络 的 拓扑 结构 


采用 混合 型 拓扑 结构 的 无 线 传感器 网 络 , 兼 具 了 星 型 网 的 简洁 、 低 功 耗 和 网 型 网 的 长 传 
输 距离 和 自 愈 性 等 优点 ,如 图 4-9(c) 所 示 。 在 混合 网 中 ,路 由 器 和 中 继 设 备 组 成 网 型 结构 ， 
而 无 线 传感器 结 点 则 在 它们 附近 呈 星 型 分 布 。 中 继 设 备 扩展 了 网 络 传输 距离 ,同时 提供 了 
容错 能 力 。 由 于 无 线 传感器 结 点 可 以 与 多 个 路 由 器 或 中 继 设备 通信 , 当 某 个 路 由 器 发 生 故 
障 或 某 条 无 线 链 路 出 现 错误 时 ,网 络 可 以 与 其 他 路 由 器 进行 自 组 网 。 


4.2.4 无 线 传感器 网 络 的 特点 


1. 大 规模 


为 了 获取 精确 信息 ,在 监测 区 域 通常 部 署 大量 传 感 器 结 点 ,数量 可 能 达到 成 千 上 万 ,其 
至 更 多 。 传 感 器 网 络 的 大 规模 性 包括 两 方面 的 含义 : 一 方面 是 指 传感器 结 点 分 布 在 很 大 的 
地 理 区 域内 ,如 在 原始 大 森林 采用 无 线 传感器 网 络 进行 森林 防火 和 环境 监测 ,需要 部 署 大 量 
的 传感器 结 点 ; 另 一 方面 是 指 传感器 结 点 部 署 很 密集 ,在 面积 较 小 的 空间 内 ,密集 部 署 了 大 
量 的 传感器 结 点 。 

无 线 传感器 网 络 的 大 规模 性 具有 如 下 优点 : 通过 不 同 空间 视角 获得 的 信息 具有 更 大 的 
信 噪 比 ; 通过 分 布 式 处 理 大 量 的 采集 信息 能 够 提高 监测 的 精确 度 ,降低 对 单个 结 点 传感器 
的 精度 要 求 ; 大 量 宛 余 结 点 的 存在 ,使 得 系统 具有 很 强 的 容错 性 能 ; 大 量 结 点 能 够 增 大 覆 
盖 的 监测 区 域 , 减 少 洞穴 或 者 盲区 。 


2. 自 组 织 


在 无 线 传感器 网 络 应 用 中 ,通常 情况 下 传感器 结 点 被 放置 在 没有 基础 结构 的 地 方 , 传 感 
器 结 点 的 位 置 不 能 预先 精确 设 定 , 结 点 之 间 的 相互 邻居 关系 预先 也 不 知道 ,如 通过 飞机 播撒 
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大 量 传感器 结 点 到 面积 广阔 的 原始 森林 中 ,或 随意 放置 到 人 不 可 到 达 或 危险 的 区 域 。 这 样 
就 要 求 传感器 结 点 具有 自 组 织 的 能 力 , 能 够 自动 进行 配置 和 管理 ,通过 拓扑 控制 机 制 和 网 络 
协议 自动 形成 转发 监测 数据 的 多 跳 无 线 网 络 系统 。 

在 无 线 传感器 网 络 使 用 过 程 中 ,部 分 传感器 结 点 由 于 能 量 耗 尽 或 环境 因素 造成 失效 ,也 
有 一 些 结 点 为 了 弥补 失效 结 点 ,增加 监测 精度 而 补充 到 网 络 中 ,这 样 在 传感器 网 络 中 结 点 的 
数量 就 会 动态 地 增加 或 减少 ,从 而 使 网 络 的 拓扑 结构 也 会 随 之 动态 地 变化 。 传 感 器 网 络 的 
自 组 织 性 要 能 够 适应 这 种 网 络 拓扑 结构 的 动态 变化 。 


3. 动态 性 


无 线 传感器 网 络 的 拓扑 结构 可 能 因为 下 列 因素 而 改变 ; 

(1) 环境 因素 或 电能 耗 尽 造成 的 传感器 结 点 故障 或 失效 ; 

(2) 环境 条 件 变 化 可 能 造成 无 线 通信 和 链 路 带宽 变化 ,甚至 时 断 时 通 ; 

(3) 传感器 网 络 的 传感器 ,感知 对 象 和 观察 者 这 三 要 素 都 可 能 具有 移动 性 ; 

(4) 新 结 点 的 加 入 。 

由 于 以 上 因素 的 影响 ,要 求 无 线 传感器 网 络 系统 要 能 够 适应 这 些 因素 的 变化 ,具有 动态 
的 系统 可 重 构 性 。 


4. 可 靠 性 


无 线 传感器 网 络 特别 适合 部 署 在 恶劣 环境 或 人 类 不 宜 到 达 的 区 域 , 结 点 可 能 工作 在 露 
天 环境 中 ,遭受 日 晒 、 风 吹 、 雨 淋 ,甚至 章 到 人 或 动物 的 破坏 。 传 感 器 结 点 往往 采用 随机 部 
署 , 如 通过 飞机 撒播 或 发 射 炮弹 到 指定 区 域 进行 部 署 。 在 这 些 特 殊 的 应 用 场合 中 ,都 要 求 传 
感 器 结 点 非常 坚固 ,不易 损坏 ,以 适应 各 种 恶劣 环境 条 件 。 

由 于 监测 区 域 环境 的 限制 以 及 传感器 结 点 的 数量 巨大 ,不 可 能 人 工 * 照 顾 ?每 个 传感器 
结 点 ,网 络 的 维护 十 分 困难 甚至 不 可 维护 。 无 线 传感器 网 络 的 通信 保密 性 和 安全 性 也 十 分 
重要 ,要 防止 监测 数据 被 盗 取 和 伪造 。 因 此 ,传感器 网 络 的 软 硬 件 必须 具有 和 鲁 棒 性 和 容 
错 性 。 


5. 以 数据 为 中 心 


众所周知 ,互联 网 是 先 有 计算 机 终端 系统 ,然后 再 互联 成 为 网 络 ,终端 系统 可 以 脱离 网 
络 独立 存在 。 在 互联 网 中 ,网 络 设备 用 网 络 中 唯一 的 IP 地 址 标识 ,资源 定位 和 信息 传输 依 
赖 于 终端 .路 由 器 .服务 器 等 网 络 设备 的 IP 地 址 。 如 果 想 访问 互联 网 中 的 资源 ,首先 要 知道 
存放 资源 的 服务 器 IP 地 址 。 可 以 说 现 有 的 互联 网 是 一 个 以 地 址 为 中 心 的 网 络 。 

而 传感器 网 络 是 任务 型 的 网 络 ,脱离 传感器 网 络 谈论 传感器 结 点 没有 任何 意义 。 传 感 
器 网 络 中 的 结 点 采用 结 点 编号 标识 , 结 点 编号 是 否 需 要 全 网 唯一 取决 于 网 络 通信 协议 的 设 
计 。 由 于 传感器 结 点 随机 部 署 ,构成 的 传感器 网 络 与 结 点 编号 之 间 的 关系 是 完全 动态 的 , 表 
现 为 结 点 编号 与 结 点 位 置 没 有 必然 联系 。 用 户 使 用 传感器 网 络 查询 事件 时 ,直接 将 所 关心 
的 事件 通告 给 网 络 ,而 不 是 通告 给 某 个 确定 编号 的 结 点 。 网 络 在 获得 指定 事件 的 信息 后 汇 
报 给 用 户 。 这 种 以 数据 本 身 作为 查询 或 传输 线索 的 思想 更 接近 于 自然 语言 交流 的 习惯 。 所 
以 通常 说 传感器 网 络 是 一 个 以 数据 为 中 心 的 网 络 。 
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例如 ,在 应 用 于 目标 跟踪 的 传感器 网 络 中 ,跟踪 目标 可 能 出 现在 任何 地 方 ,对 目标 感 办 
趣 的 用 户 只 关心 目标 出 现 的 位 置 和 时 间 , 并 不 关心 哪个 结 点 监测 到 目标 。 事实 上 ,在 目标 移 
动 的 过 程 中 ,必然 是 由 不 同 的 结 点 提供 目标 的 位 置 消息 。 


6. 集成 化 


传感器 结 点 的 功 耗 低 ,体积 小 ,价格 便宜 ,实现 了 集成 化 。 其 中 ,微机 电 系 统 技术 的 快速 
发 展 为 无 线 传感器 网 络 结 点 实现 上 述 功 能 提供 了 相应 的 技术 条 件 。 在 将 来 ,类 似 “ 灰 尘 " 大 
小 的 微型 传感器 结 点 也 将 会 被 研发 出 来 。 


7. 密集 的 结 点 布置 


在 安置 传感器 结 点 的 监测 区 域内 ,布置 有 数量 庞大 的 传感器 结 点 。 通 过 这 种 布置 方式 
可 以 对 空间 抽样 信息 或 者 多 维 信息 进行 捕获 ,通过 相应 的 分 布 式 处 理 , 即 可 实现 高 精度 的 目 
标 检测 和 识别 。 同 时 ,也 可 以 降低 单个 传感器 的 精度 要 求 。 密 集 布置 结 点 之 后 ,将 会 存在 大 
多 的 宛 余 结 点 ,这 一 特性 能 够 提高 系统 的 容错 性 能 ,使 系统 对 单个 传感器 的 要 求 大 大 降低 。 
此 外 ,适当 将 其 中 的 某 些 结 点 进行 休眠 调整 ,还 可 以 延长 网 络 的 使 用 寿命 。 


8. 以 协作 方式 执行 任务 

这 种 方式 通常 包括 协作 式 采集 ` 处 理 、 存 储 以 及 传输 信息 。 通 过 协作 的 方式 ,传感器 的 
结 点 可 以 共同 实现 对 对 象 的 感知 ,得 到 完整 的 信息 。 这 种 方式 可 以 有 效 克 服 处 理 和 存储 能 
力 不 足 的 缺点 ,共同 完成 复杂 的 任务 。 在 协作 方式 下 ,传感器 结 点 之 间 的 远 距离 通信 ,可 以 
通过 多 跳 中 继 转发 ,也 可 以 通过 多 结 点 协作 发 射 的 方式 进行 。 


9. 结 点 唤醒 方式 

无 线 传感器 网 络 中 , 结 点 的 唤醒 方式 有 以 下 几 种 : 

1) 全 唤醒 模式 

这 种 模式 下 ,无 线 传感器 网 络 中 的 所 有 结 点 同时 唤醒 ,探测 并 跟踪 网 络 中 出 现 的 目标 ， 
虽然 这 种 模式 下 可 以 得 到 较 高 的 跟踪 精度 ,然而 是 以 传感器 能 量 的 巨大 消耗 为 代价 的 。 

2) 随机 唤醒 模式 


这 种 模式 下 ,无 线 传感器 网 络 中 的 结 点 由 给 定 的 唤醒 概率 P 随机 唤醒 。 

3) 由 预测 机 制 选择 唤醒 模式 

这 种 模式 下 ,无 线 传感器 网 络 中 的 结 点 根据 跟踪 任务 的 需要 ,选择 性 地 唤醒 对 跟踪 精度 
收益 较 大 的 结 点 ,通过 当前 的 信息 预测 目标 下 一 时 刻 的 状态 ,并 唤醒 结 点 。 由 预测 机 制 选择 
唤醒 模式 可 以 获得 较 低 的 能 耗损 耗 和 较 高 的 信息 收益 。 

4) 任务 循环 唤醒 模式 

这 种 模式 下 ,无 线 传感器 网 络 中 的 结 点 间 和 区 地 工作 在 唤醒 状态 ,在 这 种 工作 模式 下 的 结 
点 可 以 与 其 他 工作 模式 的 结 点 共存 ,并 协助 其 他 工作 模式 的 结 点 工作 。 


4.2.5 无 线 传感器 网 络 安全 体系 
由 于 无 线 传感器 的 资源 有 限 ,网 络 往往 运行 在 十 分 恶劣 的 环境 中 ,因此 很 容易 受到 恶意 
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攻击 。 无 线 传感器 网 络 面临 的 安全 威胁 与 传统 移动 网 络 相似 。 
1. 无 线 传感器 网 络 面临 的 安全 威胁 
无 线 传感器 网 络 面临 的 安全 威胁 主要 包括 干扰 截取 、 复 改 、 假 骨 等 类 型 。 


1) 干扰 

干扰 是 指使 正常 的 通信 信息 丢失 或 不 可 用 。 传 感 器 大 多 采用 无 线 通信 方式 ,只 要 在 通 
信和 范围 之 内 ,攻击 者 便 有 可 能 使 用 干扰 设备 发 射 无 线 电 干 扰 信 号 对 正常 的 通信 信号 进行 干 
扰 。 也 有 可 能 在 传感器 结 点 中 注入 恶意 代码 或 指令 ,使 整个 无 线 传感器 网 络 瘫痪 。 

2) 截取 

截取 就 是 攻击 者 使 用 专用 的 设备 获取 传感器 结 点 或 基站 、 网 关 、 后 台数 据 库 中 的 重要 
信息 。 

3) 自 改 


算 改 就 是 攻击 者 并 没有 获得 操作 传感器 结 点 的 能 力 ,但 是 却 对 传感器 通信 的 正常 数据 
进行 修改 ,或 者 使 用 非法 设备 发 送 大 量 假 的 数据 包 到 通信 系统 中 ,把 正常 数据 淹没 在 假 数据 
的 海洋 中 ,使 本 来 数据 处 理 能 力 就 不 高 的 传感器 结 点 无 法 正常 工作 。 

4) 假冒 

假冒 就 是 使 用 非法 设备 冒充 正常 设备 ,潜入 到 传感器 网 络 中 ,参与 正常 通信 ,获取 信息 。 
或 者 使 用 假冒 的 数据 包 参 与 网 络 通信 ,使 正常 通信 延迟 ,或 者 诱导 正常 数据 ,获取 敏感 信息 。 


2. 无 线 传感器 网 络 的 信息 安全 需求 


无 线 传 感 器 网 络 的 信息 安全 需求 的 总 目标 是 要 保证 网 络 中 传输 信息 的 安全 性 。 无 线 传 
感 器 网 络 的 信息 安全 需求 主要 包括 以 下 七 个 方面 。 

1) 机 密 性 

机 密 性 是 指 传输 的 信息 对 非 授 方 是 保密 的 ,机 密 性 是 确保 无 线 传感器 网 络 结 点 间 传 输 
的 敏感 信息 (例如 传感器 身份 . 密 钥 等 ) 安 全 的 基本 要 求 。 如 上 所 述 ,无 线 通信 的 广播 特性 使 
得 信息 很 容易 截取 ,机 密 性 可 以 使 攻击 方 即 使 在 截获 结 点 间 的 通信 信号 的 情况 下 也 无 法 掌 
握 这 些 信息 的 真实 内 容 。 

2) 完整 性 

无 线 传感器 网 络 的 工作 环境 给 恶意 攻击 者 实施 数据 自 改 或 破坏 提供 了 方便 。 完 整 性 要 
求 网 络 结 点 收 到 的 数据 包 在 传输 过 程 中 未 执行 插入 、 删 除 、 臭 改 等 操作 , 即 保证 收 到 的 信息 
与 发 送 方 发 出 的 信息 是 完全 一 致 的 。 

3) 真实 性 

无 线 传感器 网 络 的 真实 性 需求 主要 体现 在 点 到 点 的 信息 认证 和 广播 认证 上 。 点 到 点 的 信 
息 认 证 是 指 任何 一 个 结 点 在 收 到 来 自 另 一 个 结 点 的 信息 时 ,能 够 核实 这 一 信息 来 源 的 真实 性 ， 
即 不 能 被 假冒 或 伪造 。 广 播 认 证 则 能 够 核实 单一 结 点 向 一 组 结 点 发 送信 息 时 的 真实 性 。 

4) 可 用 性 

可 用 性 要 求 无 线 传感器 网 络 能 够 随时 按 预 先 设 定 的 工作 方式 向 系统 合法 用 户 提供 信息 
访问 服务 ,但 攻击 者 往往 通过 复制 ,伪造 和 信号 干扰 等 方式 使 无 线 传感器 网 络 处 于 全 部 瘫痪 
或 部 分 瘫痪 的 状态 ,从 而 破坏 系统 的 可 用 性 。 此 外 ,无 线 传感器 网 络 为 保证 安全 而 增加 的 计 


算 和 通信 量 将 消耗 额外 的 能 量 , 也 会 削弱 无 线 传感器 网 络 的 可 用 性 。 

5) 新 鲜 性 

无 线 传感器 网 络 由 多 个 传感器 结 点 组 成 ,其 多 路 径 消息 传输 机 制 可 能 使 接收 方 收 到 延 
迟 的 相同 的 数据 包 。 新 鲜 性 要 求 接收 方 收 到 的 数据 包 始 终 都 是 最 新 的 、 非 重 放 攻 击 的 , 即 体 
现 消息 的 时 效 性 。 无 线 传感器 网 络 中 共享 密 钥 的 传输 对 新 鲜 性 比较 敏感 , 易 受 重 放 攻 击 。 

6) 角 棒 性 

无 线 传感器 网 络 通信 具有 很 强 的 动态 性 和 不 确定 性 ,例如 网 络 拓扑 结构 的 变化 、 结 点 的 
加 入 或 删除 ,面临 攻击 的 多 样 性 等 。 无 线 传感器 网 络 对 各 种 安全 威胁 应 具有 较 强 的 适应 性 
和 存活 性 ,即使 某 个 攻击 行为 得 件 , 因 为 鲁 棒 性 要 求 它 的 影响 被 最 小 化 ,所 以 单个 结 点 受到 
威胁 不 会 导致 整个 网 络 瘫痪 。 

7) 访问 控制 

访问 控制 要 求 能 够 对 访问 无 线 传感器 网 络 的 用 户 身份 进行 确认 ,确保 其 合法 性 。 但 是 
传感器 网 络 不 同 于 传统 的 互联 网 , 它 并 没有 进 、 出 网 络 的 概念 ,每 一 个 结 点 都 是 可 以 访问 的 ， 
不 能 使 用 防火 墙 等 技术 来 进行 访问 控制 ; 无 线 传感器 网 络 资源 受 限 的 特性 也 使 得 传统 的 基 
于 非 对 称 密码 机 制 的 数字 签名 和 公 钥 证 书 机 制 难以 应 用 。 因 此 ,必须 建立 一 套 适 合 无 线 传 
感 器 网 络 特点 的 ,综合 考虑 安全 性 ,效率 和 人 性 能 的 访问 控制 机 制 。 


3. 无 线 传感器 网 络 安全 体系 


如 上 所 述 , 无 线 传感器 网 络 由 多 个 传感器 结 点 、 网 关 结 点 、 基 站 和 后 台 应 用 系统 等 组 成 。 
通信 链 路 位 于 传感器 与 传感器 之 间 、 传 感 器 与 网 关 结 点 之 间 和 网 关 结 点 与 后 台 系 统 之 间 。 
对 于 攻击 者 来 说 ,这 些 设备 和 通信 和 链 路 都 有 可 能 成 为 攻击 的 目标 。 

为 了 实现 无 线 传感器 网 络 的 安全 需求 ,必须 综合 运用 多 种 不 同 的 安全 技术 。 设 计 并 实 
现 无 线 传感器 网 的 安全 体系 ,是 实现 无 线 传 感 器 网 络 安全 的 关键 。 无 线 传感器 网 络 安全 体 
系 能 够 从 整体 上 应 对 无 线 传感器 网 络 面临 的 各 种 安全 威胁 ,达到 满意 的 效果 。 无 线 传感器 
网 络 安全 体系 通过 整体 安全 设计 和 分 层 安全 设计 将 无 线 传感器 网 的 各 类 安全 问题 统一 解 
决 ,包括 认证 、 密 钥 管理 ,安全 路 由 等 ,无 线 传感器 网 络 安 全 体系 的 结构 如 图 4-10 所 示 。 


应 用 层 安全 认证 协议 殉 

甸 | 
传输 层 “可靠 传输 协议 基 理 
网 络 层 安全 路 由 协议 “| 亚 | 台 


链 路 层 ”安全 MAC 协 议 


物理 层 “ 抗 物理 攻击 


图 4-10 无 线 传感器 网 络 的 安全 体系 结构 
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对 于 无 线 传感器 网 络 来 说 ,提供 安全 机 制 和 协议 对 系统 进行 安全 防护 是 十 分 必要 的 。 
物理 层 需要 对 抗 结 点 被 捕获 ,通信 链 路 层 需要 满足 机 密 性 、 完 整 性 和 真实 性 。 但 是 ,仅仅 保 
护 传感器 网 络 中 两 个 结 点 间 的 通信 信道 的 安全 是 不 足够 的 。 网 络 的 核心 协议 , 即 提供 服务 
的 协议 集 也 应 该 是 安全 的 。 网 络 协议 和 服务 必须 足以 对 抗 任何 可 能 的 恶意 攻击 ,以 抵御 来 
自 无 线 传感器 网 络 内 外 的 安全 威胁 。 


4.2.6 无 线 传感器 网 络 物理 层 安全 技术 


在 无 线 传感器 网 络 中 ,物理 层 主要 包括 传感器 的 结 点 电路 和 天 线 两 部 分 。 对 于 结 点 电 
路 部 分 ,要 求 在 实现 传感器 结 点 基本 功能 的 基础 上 ,分 析 其 电路 组 成 ,测试 其 功 耗 及 各 个 元 
器 件 的 功 耗 , 综 合 各 种 设计 方案 的 优点 ,设计 出 廉价 、 低 功 耗 、 性 能 稳定 、 多 传感器 的 结 点 电 
路 方案 。 对 于 天 线 部 分 , 则 要 求 分 析 各 种 传感器 结 点 的 天 线 架构 ,测试 它们 的 性 能 并 进行 分 
析 ,设计 出 低 功 耗 、 抗 干扰 ,通信 质量 好 的 天 线 。 

为 了 保证 结 点 的 物理 层 安 全 ,必须 解决 结 点 的 身份 认证 和 通信 问题 。 应 研究 使 用 合适 
的 天 线 来 解决 结 点 间 的 通信 ,保证 各 个 结 点 间 及 基站 与 结 点 间 可 以 有 效 地 互相 通信 。 研 究 
多 信道 问题 ,防范 针对 传感器 结 点 的 物理 攻击 。 


1. 安全 无 线 传感器 结 点 


安全 无 线 传感器 结 点 由 数据 采集 单元 .数据 处 理 单元 及 数据 传输 单元 三 部 分 组 成 ,其 结 
构 如 图 4-11 所 示 。 


传 感 吕 + 
传 感 册 2 于 低 功 能 好 

收 吕 | 放 
传感器 n 名 


图 4-11 安全 无 线 传感器 结 点 的 结构 


无 线 传感器 网 络 工作 时 ,每 个 结 点 首先 通过 数据 采集 单元 ,将 周围 环境 的 特定 信号 转换 
成 电信 号 ,然后 将 得 到 的 电信 号 传输 到 滤波 电路 和 A/D 转换 电路 , 送 入 数据 处 理 单元 进行 
处 理 ,最 后 由 低 功 耗 收发 器 将 从 数据 处 理 单元 中 得 到 的 有 用 信息 以 无 线 通 信 的 方式 传输 
出 去 。 

安全 无 线 传感器 网 络 结 点 具有 体积 小 、 空 间 分 布 广 、 结 点 数量 多 ,动态 性 强 等 特点 ,通常 
采用 电池 对 结 点 提供 能 量 。 然 而 电池 的 能 量 有 限 ,一 旦 某 个 结 点 的 电能 耗 尽 ,该 结 点 将 退出 
整个 网 络 。 如 果 有 大 量 的 结 点 退出 网 络 , 网 络 将 失去 作用 。 因 此 ,在 电路 设计 中 , 低 功 耗 设 
计 是 一 项 重要 的 任务 。 在 硬件 方面 ,可 以 采用 太阳 能 电池 来 补充 能 源 , 并 使 用 低 功 耗 的 微 处 
理 器 和 射频 芯片 ; 在 软件 方面 , 则 可 以 关闭 数据 采集 单元 和 数据 传输 单元 ,并 将 数据 处 理 单 
元 转 入 休眠 状态 。 


2. 天 线 设计 
由 于 无 线 传 感 器 网 络 的 设备 要 求 体积 小 、 功 耗 低 ,因此 在 设计 这 类 无 线 通信 系统 时 一 般 
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都 采用 微 带 天 线 。 微 带 天 线 具有 体积 小 、 质 量 轻 、 电 性 能 多 样 化 、 易 集成 .能 与 有 源 电 路 集成 
为 统一 的 组 件 等 众多 优点 。 但 是 ,受到 其 结构 和 体积 限制 , 微 带 天 线 存 在 频带 罕 .损耗 较 大 、 
增益 较 低 、 仅 向 一 半空 间 辐射 .功率 容量 较 低 等 缺点 。 

IEEE 802. 15. 4 标准 是 针对 低速 无 线 个 域 网 制定 的 一 个 标准 。 这 个 标准 采用 倒 F 天 
线 , 工 作 频段 为 2.4 GHz 或 868/915 MHz 频段 ,为 个 人 或 家 庭 范围 内 的 不 同 设备 之 间 的 无 
线 通 信 提 供 统 一 的 平台 ,可 以 实现 低能 量 消耗 、 低 速率 传输 、 低 成 本 的 目标 。 


3. 物理 层 攻击 的 防护 


物理 层 攻击 可 能 通过 手动 微 探 针 探 测 .激光 切割 .聚集 离子 束 操纵 、. 短 时 脉冲 波形 干扰 、 
能 量 分 析 等 方法 实施 ,相应 的 安全 防护 手段 包括 : 

(1) 在 任何 可 观察 的 反应 和 关键 操作 间 加 入 随机 时 间 延 迟 ; 

(2) 设计 多 线程 处 理 器 ,在 两 个 以 上 的 执行 线程 间 随 机 地 执行 指令 ; 

(3) 建立 传感器 自 测试 功能 使 得 任何 拆 印 传感器 的 企图 都 将 导致 整个 器 件 功 能 的 
损坏 ; 

(4) 测试 电路 的 结构 破坏 或 失效 ; 

(5) 在 传感器 的 实际 电路 上 设置 金属 屏蔽 网 。 

为 加 强 物 理 层 的 保护 ,可 以 在 传感器 结 点 加 入 配置 防臭 改 模块 (Tamper Proof Module， 
TPM) ,该 模块 允许 安全 地 存储 证 书 , 当 传感器 结 点 受到 威胁 时 阻止 攻击 者 检索 证 书 , 一 旦 
发 现 针对 传感器 的 自 改 行为 ,配置 防 算 改 模块 就 会 实施 自 销毁 ,破坏 存储 在 模块 中 的 所 有 数 
据 和 密 钥 。 在 拥有 足够 元 余 信 息 的 传感器 网 络 中 ,这 是 一 种 切实 可 行 的 解决 方案 。 因 为 一 
个 传感器 结 点 的 价值 远 低 于 被 俘获 所 带 来 的 损失 。 关 键 在 于 发 现 物理 攻击 ,一 个 简单 的 方 
法 是 定期 进行 邻居 核查 。 

针对 外 部 存储 器 的 读 取 攻 击 ,一 种 可 行 的 应 对 措施 是 对 外 部 存储 器 进行 定期 检查 ,对 断 
开 微 控制 器 和 外 部 存储 器 的 时 间 进 行 严格 的 限制 。 


4.2.7 无 线 传感器 网 络 数 据 链 路 层 安 全 技术 


媒体 访问 控制 (Media Access Control, MAC) 协 议 处 于 无 线 传感器 网 络 的 底层 ,对 无 线 
传感器 网 络 的 性 能 有 较 大 的 影响 ,是 保证 无 线 传感器 网 络 高 效 通 信 的 关键 网 络 协议 之 一 。 
无 线 传感器 网 络 的 MAC 协议 是 由 传统 的 载波 侦 听 多 路 访问 (Carrier Sense Multiple 
Access,CSMA) 协 议 改 进而 来 ,典型 的 协议 有 S-MAC、SMACS/EAR、T-MAC、DMAC 等 。 
以 下 着 重地 对 S-MAC 协议 进行 分 析 。 

S-MAC 协议 是 在 IEEE 802. 11 协议 的 SC9636-006 基础 上 ,专门 针对 无 线 传感器 网 络 
节能 的 特殊 需求 而 设计 的 。S-MAC 协议 同时 采取 了 多 种 节能 技术 ,如 空闲 侦 听 、 冲 突 、 串 音 
和 控制 开销 等 。 

无 线 传感器 网 络 由 多 个 结 点 组 成 ,利用 短 距离 多 跳 通 信 来 节省 能 量 , 大 部 分 通信 都 发 生 
在 对 等 结 点 之 间 。 网 内 处 理 对 网 络 生 存 期 很 重要 .数据 将 作为 整个 消息 以 存储 转发 的 方式 
进行 处 理 。 无 线 传感器 网 络 的 应 用 具有 很 长 的 空 闪 时间 ,并 且 能 容忍 网 络 传递 的 延迟 。 
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1. 周期 性 侦 听 和 休眠 


如 上 所 述 ,在 多 数 无 线 传感器 网 络 应 用 中 ,如果 没有 感 测 到 事件 发 生 , 结 点 将 长 期 空闲 。 
我 们 假设 这 样 一 个 事实 ,在 该 段 时 期 内 数据 速率 非常 低 ,因此 没有 必要 使 结 点 一 直 保持 侦 
听 。S-MAC 协议 通过 让 结 点 处 于 周期 休眠 状态 来 降低 侦 听 时 间 ,每 个 结 点 休 了 眠 一 段 时 间 ， 
然后 唤醒 并 侦 听 是 否 有 其 他 结 点 想 与 它 通信 。 在 休眠 期 间 , 结 点 关闭 无 线装 置 ,并 设置 定时 
器 ,随后 来 唤醒 自己 。 

侦 听 和 休眠 的 一 个 完整 周期 被 称 为 一 帧 。 侦 听 间 隔 通 常 是 固定 的 ,根据 物理 层 和 
MAC 层 的 参数 来 决定 ,比如 无 线 带 宽 和 竞争 窗口 大 小 。 占 空 比 指 侦 听 间隔 与 整个 帧 长 度 
之 比 。 休 眠 间隔 可 能 根据 不 同 的 应 用 需求 而 改变 , 它 实 际 上 改变 占 空 比 。 简 单 而 言 ,这 些 值 
对 所 有 的 结 点 都 是 一 样 的 ,所 有 结 点 都 可 以 自由 选择 它们 各 自 的 侦 听 /休眠 时 间 表 。 然 而 ， 
为 了 降低 控制 开销 ,我 们 更 希望 邻居 结 点 保持 同步 ,也 就 是 说 它们 同时 侦 听 和 同时 进入 休 
眠 。 值 得 注意 的 是 ,在 多 跳 网 络 中 不 是 所 有 的 邻居 结 点 都 能 够 保持 同步 。 如 果 结 点 A 和 结 
点 BB 必须 分 别 与 不 同 的 结 点 C 和 结 点 D 同步 ,那么 结 点 A 和 结 点 B 可 能 具有 不 同 的 时 
间 表 。 
结 点 通过 周期 地 向 它们 的 直接 邻居 广播 SYNC 包 来 交换 它们 的 时 间 表 。 一 个 结 点 在 
预定 侦 听 时 间 与 它 的 邻居 结 点 通信 ,以 确保 所 有 邻居 结 点 能 够 通信 ,即使 它们 具有 不 同 的 时 
间 表 。 如 果 结 点 A 想 与 结 点 B 通信, 结 点 A 必须 等 待 直到 结 点 B 侦 听 到 结 点 C 发 送 的 一 
个 SYNC 同步 包 。S-MAC 协议 的 一 个 特征 是 它 将 结 点 形成 一 个 平面 型 的 对 等 拓扑 结构 ， 
不 像 徐 协议 ,S-MAC 协议 不 需要 通过 簇 头 协 作 。 相 反 , 结 点 在 公用 时 间 表 形成 虚拟 簇 ,与 对 
等 结 点 之 间 直 接 通 信 。 该 方法 的 一 个 优点 是 在 拓扑 发 生变 化 时 , 它 比 基于 复方 法 健壮 。 该 
机 制 的 不 足 是 由 于 周期 休眠 增 加 了 延迟 ,而 且 , 延 迟 有 可 能 在 每 跳 积 


2. 冲突 避免 


如 果 多 个 邻居 结 点 同时 想 与 一 个 结 点 通信 ,它们 将 试图 在 该 结 点 开始 侦 听 时 发 送 消息 ， 
在 这 种 情况 下 ,它们 需要 竞争 媒体 。 在 竞争 协议 中 ,IEEE 802. 11 在 冲突 避免 这 方面 做 得 很 
好 。S-MAC 协议 遵循 类 似 的 流程 ,包括 虚拟 载波 侦 听 和 物理 载波 侦 听 ,解决 隐藏 终端 问题 
的 RTS/CTS( 请 求 发 送 /清除 发 送 ) 交 换 。 每 个 传输 包 中 都 有 一 个 持续 时 间 域 来 标识 该 包 
要 传输 多 长 时 间 , 如 果 一 个 结 点 收 到 一 个 传输 给 另外 一 个 结 点 的 包 , 该 结 点 就 能 从 持续 时 间 
域 知道 在 多 长 时 间 内 不 能 发 送 数据 。 结 点 以 变量 形式 记录 该 值 , 被 称 为 网 络 分 配 矢量 
(NAV),NAYV 可 以 被 看 成 一 个 计时 器 ,每 次 计时 器 开始 计时 , 结 点 递减 它 的 NAV, 直 到 减 
少 到 0。 在 传输 之 前 , 结 点 首先 检查 它 的 NAV ,如 果 它 的 值 不 为 0, 结 点 就 认为 媒体 忙 ,这 被 
称 为 虚拟 载波 侦 听 。 物 理 载波 侦 听 在 物理 层 执行 ,通过 侦 听 信道 进行 可 能 的 传输 。 载波 侦 
听 时 间 是 竞争 窗口 内 的 一 个 随机 值 , 以 避免 冲突 现象 。 如 果 虚 拟 载波 侦 听 和 物理 载波 侦 听 
都 标识 媒体 空闲 ,那么 媒体 就 是 空闲 的 。 

在 开始 传输 前 ,所 有 发 送 者 都 执行 载波 侦 听 。 如 果 一 个 结 点 没有 获得 媒体 , 它 将 进入 休 
眠 , 当 接收 机 空闲 和 再 一 次 侦 听 时 唤醒 。 广 播 分 组 的 发 送 不 需要 RTS/CTS, 单 播 分 组 在 发 
送 者 和 接收 者 之 间 遵 循 RTS/CTS/DATA/ACK 序列 。RTS 和 CTS 成 功 交换 后 ,两 个 结 
点 将 利用 它们 的 休眠 时 间 进 行 数据 分 组 传输 ,直到 它们 完成 传输 后 才 遵循 它们 的 休眠 时 间 


第 4 章 感知 层 安 全 技术 


表 。 在 每 个 侦 听 间隔 内 ,由 于 占 空 比 操作 和 竞争 机 制 ,S-MAC 有 效 地 标识 由 于 侦 听 和 碰撞 
产生 的 能 量 消耗 。 


3. S-MAC 协议 实现 的 关键 技术 


1) 数据 包 的 嵌 套 结构 

在 S-MAC 协议 中 ,上 一 层 数 据 包 包含 了 下 一 层 数 据 包 的 内 容 。 数 据 包 传 送 到 哪 一 层 ， 
那 一 层 只 需要 处 理 属于 它 的 部 分 。 

2) 堆栈 结构 和 功能 

在 S-MAC 协议 堆栈 内 , 当 MAC 层 接收 到 上 层 传 送 过 来 的 数据 包 后 , 它 就 开始 载波 侦 
听 。 如 果 结 果 显示 MAC 层 空 闲 , 它 就 会 把 数据 传 到 物理 层 ; 如 果 MAC 层 忙 , 它 将 会 进入 
睡眠 状态 ,直到 下 一 个 可 用 时 间 的 到 来 ,再 重新 发 送 。 当 MAC 层 在 收 到 物理 层 传 送 过 来 的 
数据 包 后 , 则 先 通过 循环 宛 余 校 验 (CRC) ,检验 是 否 有 错误 。 如 果 没 有 错误 ,MAC 层 就 会 
将 数据 包 传 向 上 层 。 

3) 选择 和 维护 调度 表 

在 开始 周期 性 侦 听 和 睡眠 之 前 ,每 个 结 点 都 需要 选择 睡眠 调度 机 制 并 与 邻居 结 点 一 致 
如 何 选择 和 保持 睡眠 调度 机 制 分 为 以 下 3 种 情况 。 

(1) 结 点 在 侦 听 时 间 内 ,如 果 它 没有 侦 听 到 其 他 结 点 的 睡眠 调度 机 制 , 则 立即 选择 一 个 
睡眠 调度 机 制 。 

(2) 当 结 点 在 选择 和 宣布 自己 的 调度 机 制 之 前 , 收 到 了 邻居 结 点 广播 的 睡眠 调度 机 制 ， 
它 将 采用 邻居 结 点 的 睡眠 调度 机 制 。 

(3) 当 结 点 在 选择 和 广播 自己 的 睡眠 调度 机 制 之 后 , 收 到 几 种 不 同 的 睡眠 调度 机 制 时 ， 
就 要 分 以 下 两 种 情况 考虑 : 当 结 点 没有 邻居 结 点 时 , 它 会 舍弃 自己 当前 的 睡眠 调度 机 制 , 采 
用 刚 接收 到 的 睡眠 调度 机 制 ; 当 结 点 有 一 个 或 更 多 邻居 结 点 时 , 它 将 同时 采用 不 同 的 调度 
机 制 。 

4) 时 间 同 步 

在 S-MAC 协议 中 , 结 点 与 邻居 结 点 需要 保持 时 间 同 步 来 同时 侦 听 和 睡眠 。S-MAC 协 
议 采 用 的 是 相对 而 不 是 绝对 的 时 间 惟 ,同时 使 侦 听 时 间 远 大 于 时 钟 误 差 和 漂移 ,来 减少 同步 
误差 ,并 且 结 点 会 根据 收 到 的 邻居 结 点 的 数据 包 来 更 新 自己 的 时 钟 ,从 而 与 邻居 结 点 保持 时 
间 同 步 。 

5) 带 冲突 避免 的 载波 侦 听 多 路 访问 

带 冲突 避免 的 载波 侦 听 多 路 访问 (CSMAVCA) 的 基本 机 制 是 在 接收 者 和 发 送 者 之 间 建 
立 一 个 握手 机 制 来 传输 数据 。 

握手 机 制 是 由 发 送 端 发 送 一 个 请 求 发 送 (RTS) 包 给 它 的 接收 者 ,接收 者 在 收 到 以 后 就 
回复 一 个 准备 接收 (CTS) 包 ,发 送 端 在 收 到 CTS 包 后 ,开始 发 送 数 据 包 ,RTS 与 CTS 之 间 
的 握手 是 为 了 使 发 送 端 和 接收 端的 邻居 结 点 知道 它们 正在 进行 数据 传输 ,从 而 减少 传输 
碰撞 。 

6) 网 络 分 配 矢 量 

在 S-MAC 协议 中 ,每 个 结 点 都 保持 了 一 个 网 络 分 配 矢 量 (NAV) 来 表示 邻居 结 点 的 活 
动 时 间 ,S-MAC 协议 中 在 每 个 数据 包 中 都 包含 了 一 个 持续 时 间 指 示 值 ,持续 时 间 指 示 值 表 
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示 目 前 这 个 通信 需要 持续 的 时 间 。 邻 居 结 点 收 到 发 送 者 或 接收 者 发 往 其 他 结 点 的 数据 包 
时 ,就 可 以 知道 它 需 要 睡眠 多 和 久 , 即 用 数据 包 中 的 持续 时 间 更 新 NAV 的 值 , 当 NAYV 的 值 不 
为 0 时 , 结 点 应 该 进入 睡眠 状态 来 避免 串 音 。 当 NAV 变 为 0 时 , 它 就 马上 醒 来 ,准备 进行 
通信 。 

与 IEEE 802.11 MAC 相 比 ,S-MAC 协议 尽量 延长 其 他 结 点 的 休眠 时 间 , 从 而 降低 了 
碰撞 概率 ,减少 了 空闲 侦 听 所 消耗 的 能 源 ; 通过 流量 自 适 应 的 侦 听 机 制 ,减少 消息 在 网 络 中 
的 传输 延迟 ; 采用 带 内 信 令 来 减少 重 传 和 避免 监听 不 必要 的 数据 ; 通过 消息 分 割 和 突 发 传 
递 机 制 来 和 带 内 数据 处 理 来 减少 控制 消息 的 开销 和 消息 的 传递 延迟 。 因 此 S-MAC 协议 具 
有 很 好 的 节能 特性 ,这 对 无 线 传感器 网 络 的 需求 和 特点 来 说 是 合理 的 。 但 是 ,因为 SSMAC 
中 占 室 比 固定 不 变 , 所 以 它 不 能 很 好 地 适应 网 络 流量 的 变化 ,而 且 协 议 的 实现 非常 复杂 , 需 
要 占用 大 量 的 存储 空间 。 这 个 问题 对 于 资源 受 限 的 传感器 结 点 尤为 突出 。 


4.2.8 无 线 传感器 网 络 网 络 层 安全 技术 


传感器 网 络 的 安全 问题 是 一 个 开放 的 、 活 跃 的 研究 领域 。SPINS 安全 体系 是 目前 研究 
者 提出 的 传感器 网 络 安全 体制 中 比较 流行 .实用 的 无 线 传感器 网 络 安全 方案 。 它 在 数据 机 
密 性 ,完整 性 ,新鲜 性 ,可 认证 等 方面 都 做 了 充分 的 考虑 。 

SPINS 安全 协议 包含 SNEP (Security Network Encryption Protocol) 和 pTESLA 
(micro Timed Efficient Streaming Loss-tolerant Authentication) 两 个 部 分 。SNEP 用 以 实 
现 通 信 的 机 密 性 、 完 整 性 、 新 鲜 性 和 点 到 点 的 认证 ; xTESLA 用 以 实现 在 资源 受 限 的 情况 下 
的 点 到 多 点 的 广播 认证 。 


1. 安全 网 络 加 密 协议 SNEP 


SNEP 协议 是 一 个 低 通信 开销 的 ,实现 了 数据 机 密 性 .数据 认证 、 完 整 性 保护 、 新 鲜 性 保 
证 的 简单 高 效 的 安全 通信 协议 ,为 传感器 网 络 量 身 打造 本 身 只 描述 安全 实施 的 协议 过 程 , 并 
不 规定 实际 使 用 的 算法 ,具体 的 算法 在 具体 实现 的 时 候 考 虑 。 

SNEP 协议 采用 预 共 享 主 密 钥 的 安全 引导 模型 ,假设 每 个 结 点 都 和 基站 之 间 共 享 一 对 
主 密 钥 , 其 他 密 钥 都 是 从 主 密 钥 衍生 出 来 的 。SNEP 协议 的 各 种 安全 机 制 都 是 通过 信任 基 
站 完成 的 。 

1) SNEP 协议 的 机 密 性 

SNEP 协议 实现 的 机 密 性 不 仅仅 具有 加 密 功 能 ,还 具有 语义 安全 特性 ,语义 安全 特性 是 
针对 数据 机 密 性 提出 的 一 个 概念 , 它 的 含义 是 指 相 同 的 数据 信息 在 不 同 的 时 间 、 不 同 的 上 下 
文 , 经 过 相同 的 密 钥 和 加 密 算法 产生 的 密 文 不 同 。 语 义 安全 性 可 以 有 效 抑制 对 明文 的 攻击 。 
实现 语义 安全 性 的 方法 很 多 ,使 用 密码 分 组 链 (Cipher Block Chaining,CBC) 加 密 模式 具有 
先天 的 语义 安全 特性 ,因为 每 块 数据 的 密 文 是 将 自身 与 前 段 密 文 迭代 异 或 产生 的 ; 计数 器 
(CounTeR ,CTR) 模 式 也 可 以 实现 语义 安全 ,因为 每 个 数据 包 的 密 文 与 其 加 密 时 的 计数 器 
值 相关 。 在 CTR 模式 中 ,通信 双方 共享 一 个 计数 器 ,计数 器 值 作为 每 次 通信 加 密 的 初始 化 
向 量 (Initial Vector,IV)。 这 样 ,每 次 通信 时 的 计数 器 值 不 同 , 相 同 的 明文 必定 产生 不 同 的 
密 文 。SNEP 协议 采取 计数 器 模式 的 加 密 方法 实现 语义 安全 机 制 ,其 加 密 公 式 如 下 所 示 : 


E= {DBD} (KiC) 
其 中 ,E 表示 加 密 后 的 密 文 ,D 表示 加 密 前 的 明文 ,Ke 表示 加 密 密 钥 ,C 表示 计数 器 ,用 作 
块 加 密 的 初始 向 量 。 

2) SNEP 协议 的 完整 性 和 点 到 点 认证 

SNEP 协议 实现 消息 完整 性 和 点 到 点 认证 是 通过 消息 认证 码 (Message Authentication 
Code, MAC) 协 议 实现 的 。 消 息 认 证 码 协议 的 认证 公式 定义 如 下 : 

M 王 MACCK。。,C | E) 

其 中 ,Ke 表示 消息 认证 算法 的 密 钥 ,CIE 为 计数 器 值 和 密 文 的 粘 接 ,表明 消息 认证 码 是 对 
计数 器 和 密 文 一 起 进行 运算 。 消 息 认 证 的 内 容 可 以 是 明文 ,也 可 以 是 密 文 ,SNEP 采用 的 是 
密 文 认证 。 用 密 文 认证 方式 可 以 加 快 接收 结 点 认证 数据 包 的 速度 ,接收 结 点 在 收 到 数据 包 
后 可 以 马上 对 密 文 进行 认证 ,发 现 问题 直接 丢弃 ,无 须 对 数据 包 进 行 解密 。 明 文 认证 过 程 则 
是 接收 结 点 必须 先 解密 再 认证 ,会 推迟 错误 的 数据 包 的 辨认 时 机 ,浪费 结 点 计算 资源 ,同时 
使 系统 对 攻击 更 加 敏感 。 另 外 , 逐 跳 认 证 方式 只 能 选择 密 文 认证 的 方式 ,因为 中 间 没 有 端 到 
端的 通信 密 钥 ,不 能 对 加 密 的 数据 包 进 行 解 密 。 

Ke 和 Ke 这 两 个 密 钥 都 是 通过 与 基站 共享 的 主 密 钥 Kwwwer 按 照相 同 的 算法 推演 出 来 
的 。SNEP 没有 定义 推演 算法 ,实现 者 可 以 按照 一 定 的 规则 来 生成 加 密 密 钥 .和 认证 密 
铀 天 se。 

在 加 州 大 学 伯克利 分 校 提出 的 SNEP 模型 系统 中 ,直接 使 用 wTESLA 协议 中 定义 的 单 
向 散 列 函 数 下 来 生成 加 密 密 钥 和 认证 密 钥 玉 。。 : 

Ki SS PR 
KK = 

一 个 完整 的 结 点 A 到 结 点 B 之 间 的 交换 过 程 如 下 所 示 : 

A 一 B: {D} (Ke,C), MAC(Kwmae oC | {D} (Kase sO)) 

3) SNEP 协议 的 新 鲜 性 认证 

SNEP 协议 通过 CTR 模式 支持 数据 通信 的 弱 新 鲜 性 。 所 谓 弱 新 鲜 性 是 指 一 种 单 向 的 
新 鲜 性 认证 。 假 如 结 点 A 给 结 点 B 连续 发 送 10 个 请 求 数据 包 , 通 过 计数 器 值 能 够 知道 这 
10 个 请 求 数 据 包 是 顺序 从 结 点 A 发 送出 来 的 。 得 到 这 10 个 请 求 包 以 后 , 结 点 B 会 将 请 求 
交 给 其 上 层 应 用 层 处 理 , 并 将 相应 消息 回复 给 结 点 A, 结 点 A 从 结 点 B 收 到 10 个 回复 消 
息 。 结 点 A 同样 根据 计数 器 值 可 以 判断 这 10 个 响应 包 是 从 结 点 B 顺序 发 送出 来 的 ,并 且 
对 于 任何 响应 包 的 重 放 攻击 都 能 有 效 抑制 , 即 实 现 了 弱 新 鲜 性 认证 。 

这 种 新 鲜 性 认证 存在 一 个 问题 , 结 点 A 不 能 判断 它 所 收 到 的 响应 包 是 针对 它 发 出 的 哪 
个 请 求 包 的 回应 。 如 果 A 收 到 的 回复 消息 不 是 按照 其 请 求 包 发 送 顺 序 给 出 的 ,那么 它 将 不 
能 为 每 个 请 求 回 送 正确 的 响应 。 为 此 ,SNEP 协议 定义 了 强 新 鲜 认证 方法 。 

SNEP 协议 使 用 Nonce 机 制 实现 强 新 鲜 特性 。Nonce 是 一 个 唯一 标识 当前 状态 的 、 任 
何 无 关 者 都 不 能 预测 的 随机 数 , 它 通常 由 真 随机 数 发 生 器 产生 。SNEP 协议 在 其 强 新 鲜 认 
证 过 程 中 ,在 每 个 安全 通信 的 请 求 数据 包 中 增加 Nonce 段 , 用 来 唯一 标示 请 求 包 的 身份 。 
为 了 保证 安全 性 ,Nonce 要 足够 长 ,以 避免 被 攻击 者 预测 出 来 ,减少 碰巧 相同 的 概率 。 

结 点 A 在 发 送 给 结 点 B 的 消息 中 增加 一 个 Nonce 段 : NA, 结 点 B 在 对 该 消息 应 答 的 
时 候 让 NA 参加 回应 包 的 消息 认证 计算 ,并 返回 给 结 点 A。 这 样 , 结 点 A 就 可 以 通过 响应 包 
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的 认证 码 得 知 这 个 回应 是 针对 NA 标示 的 请 求 消息 给 出 的 ,不 必 考 虑 回应 的 顺序 问题 。 

4) 用 SNEP 协议 完成 结 点 间 的 通信 

使 用 SNEP 协议 完成 结 点 间 通 信 的 一 种 可 行 方法 是 通过 信任 基站 为 将 要 通信 的 两 个 
结 点 建立 临时 通信 密 钥 。 假 设 结 点 A 和 结 点 B 都 与 基站 S 存在 共享 密 钥 Kas 和 Km , 则 安 
全 信道 的 建立 过 程 如 下 : 

A—>B: NA,A 

B—>S: Na,Ns,A,B, MAC(Kass, Na|Ns|AlB) 

S>A: Na,{ SKas} Kas, MAC(Kns, NalB|{ SKAs} Ks) 

S—>B: NA,{ SKns} Kps, MAC(Kps, Nes|A|{ SKan} Kps) 

SKAs 是 基站 S 为 结 点 A 和 B 设 定 的 临时 通信 和 密 钥 ,Na 和 Ns 是 强 新 鲜 认证 的 Nonce 
随机 数 ,在 结 点 之 间 的 通信 和 完成 后 ,双方 可 以 直接 丢弃 这 个 信任 密 钥 。 如 果 以 后 再 需要 通 
信 , 可 以 重新 生成 临时 通信 密 钥 。 


2. 基于 时 间 的 高 效 的 容忍 丢 包 的 流 认 证 协议 kTESLA 


为 了 节省 网 络 带宽 和 通信 时 间 ,基站 经 常 采取 广播 的 方式 向 结 点 发 送 消息 。 结 点 接收 
广播 包 的 时 候 ,必须 要 能 够 对 广播 包 的 来 源 进行 认证 ,否则 结 点 很 容易 受到 DoS 广播 攻击 。 
广播 包 的 认证 和 单 播 包 的 认证 过 程 不 同 , 单 播 包 的 认证 只 要 收发 结 点 之 间 共 享 一 对 认证 密 
钥 就 可 以 完成 了 ,而 广播 包 则 要 使 用 一 个 全 网 的 公共 密 钥 来 完成 认证 。 广 播 包 认证 是 一 个 
单 向 的 认证 过 程 ,所 以 必须 使 用 非 对 称 密 钥 机 制 来 完成 。 通 过 SNEP 协议 实现 广播 包 的 认 
证 ,只 能 通过 复制 数据 包 , 以 单 播 包 的 形式 传播 到 所 有 结 点 ,这 样 的 开销 非常 巨大 。 

最 直接 的 解决 办 法 是 基站 和 所 有 结 点 共享 一 个 公共 的 广播 认证 密 钥 , 结 点 使 用 这 个 密 
钥 进行 广播 包 的 认证 。 但 这 种 方法 安全 度 很 低 , 因 为 任何 一 个 结 点 被 俘 都 会 泄露 整个 网 络 
的 广播 密 钥 。 使 用 一 包 一 密 钥 的 认证 方式 ,可 以 防止 被 俘 结 点 泄露 秘密 ,但 是 需要 不 断 更 新 
密 钥 ,增加 通信 开销 ,上 且 更 新 密 钥 的 过 程 又 是 一 个 需要 认证 的 广播 过 程 。 

Adrian Perrig 等 人 提出 了 微型 基于 时 间 的 高 效 的 容忍 丢 包 的 流 认证 协议 xTESLA 
(micro Timed Efficient Streaming Loss-tolerant Authentication) 。 该 协议 以 TESLA 协议 
为 基础 ,对 密 钥 更 新 过 程 . 初 始 化 认证 过 程 进行 了 改进 ,使 之 能 够 在 无 线 传 感 器 网 中 有 效 
实施 。 

1) xTESLA 协议 基本 思想 

认证 广播 协议 的 安全 条 件 是 “没有 攻击 者 可 以 伪造 正确 的 广播 数据 包 ”。jTESLA 协 
议 就 是 依据 这 个 安全 条 件 来 设计 的 。 认 证 本 身 不 能 防止 恶意 结 点 制造 错误 的 数据 包 来 干扰 
系统 的 运行 ,只 保证 正确 的 数据 包 一 定 是 由 授权 的 结 点 发 送出 来 的 。pTESLA 协议 的 主要 
思想 是 先 广播 一 个 通过 密 钥 Ks. 认证 的 数据 包 , 然 后 公布 密 钥 Ks ,这 样 就 保证 了 在 密 铀 
Kw 公布 之 前 ,没有 人 能 够 得 到 认证 密 钥 的 任何 信息 ,也 就 没有 办 法 在 广播 包 正 确认 证 之 前 
伪造 出 正确 的 广播 数据 包 。 这 样 的 协议 构成 恰好 满足 流 认证 广播 的 安全 条 件 。 

ATESLA 协议 在 设计 过 程 中 解决 的 问题 如 下 : 

(1) 共享 密 钥 问题 。 

结 点 必须 能 够 首先 认证 公布 的 密 钥 , 进 而 用 密 钥 认证 数据 包 。jTESLA 协议 采用 的 是 
全 网 共享 密 钥 生成 算法 的 方法 ,而 不 是 共享 密 钥 池 。 真 正 的 密 钥 池 只 在 广播 者 (基站 ) 中 存 
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放 。 这 样 ,无 论 实际 的 密 钥 池 有 多 大 ,对 结 点 来 说 都 只 需要 存放 相同 的 一 段 代 码 。 

(2) 密 钥 生成 算法 的 单 向 性 问题 。 

因为 全 网 共享 的 秘密 是 密 钥 生成 算法 , 若 正 常 结 点 被 俘获 ,将 暴露 这 个 密 钥 生成 算法 。 
密 钥 发 布 包 是 明文 广播 ,所 以 恶意 结 点 和 正常 结 点 一 样 可 以 获得 密 钥 明文 。pzTESLA 协议 
为 了 防止 恶意 结 点 根据 已 知 密 钥 明 文 和 密 钥 生成 算法 推测 出 新 的 认证 密 钥 ,使 用 单 向 散 列 
函数 来 解决 密 钥 生成 问题 。 单 向 散 列 函数 的 特性 就 是 其 逆 函 数 不 存在 或 者 计算 复杂 度 非常 
大 。 这 样 即使 恶意 结 点 拥有 了 算法 和 已 经 公开 的 密 钥 ,仍然 不 能 推算 出 下 一 个 要 公布 的 密 
钥 是 什么 。 

(3) 密 钥 发 布 包 丢 失 问题 。 

无 线 信道 是 一 个 没有 质量 保证 的 信道 ,数据 冲突 和 丢失 的 可 能 性 很 大 。 如 果 一 个 结 点 
丢失 了 密 钥 发 布 包 , 就 会 导致 一 个 时 段 收 到 的 广播 数据 包 不 能 被 正确 认证 。jTESLA 协议 
之 所 以 称 为 容忍 丢失 的 流 认证 协议 ,最 重要 的 一 点 就 是 它 引 入 了 密 钥 链 机 制 ,解决 了 密 钥 发 
布 包 丢失 给 认证 带 来 的 问题 。 该 机 制 要 求 基站 密 钥 池 中 存放 的 密 钥 不 是 相互 独立 的 ,而 是 
经 过 单 向 密 钥 生 成 算法 由 迭代 运算 产生 出 来 的 一 串 密 钥 。 已 知 祖先 密 钥 ,可 以 用 单 向 散 列 
函数 产生 所 有 的 子孙 密 钥 。 这 样 即 使 中 间 丢 失 几 个 发 布 的 密 钥 ,仍然 可 以 根据 最 新 的 密 钥 
把 它们 推算 出 来 。 

(4) 时 间 同 步 和 密 钥 公 布 延 迟 问题 。 

为 了 解决 拥塞 问题 和 延迟 问题 ,wTESLA 协议 使 用 了 周期 性 公布 认证 密 钥 的 方式 ,一 
段 时 间 内 使 用 相同 的 认证 密 钥 。 这 样 的 处 理 对 于 广播 包 频 率 较 高 的 应 用 特别 高 效 ,对 于 频 
率 低 的 应 用 也 不 会 增加 认证 延迟 。 周 期 性 更 新 密 钥 要 求 基 站 和 结 点 之 间 要 维持 一 个 简单 的 
同步 ,这 样 结 点 就 可 以 通过 当时 时 钟 判断 公布 的 密 钥 是 哪个 时 间 段 使 用 的 密 钥 ,然后 用 该 密 
钥 对 该 时 间 段 中 接收 到 的 数据 包 进行 认证 。 密 钥 使 用 时 间 和 密 钥 公布 时 间 的 延迟 是 需要 权 
衡 的 , 太 长 可 能 导致 结 点 需要 大 的 存储 空间 来 缓存 收 到 的 广播 包 , 太 短 会 频繁 切换 密 钥 导致 
通信 消耗 过 大 。 延 迟 时 间 的 定义 可 以 根据 广播 包 的 发 送 频 率 确 定 。 

(5) 密 钥 认证 和 初始 化 问题 。 

结 点 对 于 每 个 收 到 的 密 钥 ,首先 要 确认 它 是 从 信任 基站 发 送出 来 的 ,而 不 是 一 个 恶意 结 
点 伪造 的 。 密 钥 生 成 算法 的 单 向 特性 为 密 钥 的 确认 提供 了 很 好 的 手段 。 因 为 密 钥 是 单 向 可 
推导 的 ,所 以 根据 前 面 获 得 的 合法 密 钥 可 以 验证 新 收 到 的 密 钥 是 不 是 合法 的 密 钥 。 结 点 用 
单 向 密 钥 生成 算法 对 新 收 到 的 密 钥 进行 运算 ,如 果 能 够 得 到 原来 收 到 的 合法 密 钥 , 并 且 满足 
时 间 同 步 要 求 , 那 么 新 收 到 的 密 钥 是 合法 的 ,否则 是 不 合法 的 。 但 这 个 过 程 要 求 初始 第 一 个 
密 钥 必须 是 确认 合法 的 。 这 个 初始 认证 是 通过 协议 初始 化 过 程 完成 的 。jTESLA 协议 使 
用 SNEP 协议 来 进行 初始 认证 密 钥 和 同步 时 间 的 协商 。 

2) pTESLA 协议 的 实现 过 程 

ATESLA 协议 通过 对 称 密 钥 的 延迟 透露 而 引入 非 对 称 性 来 产生 有 效 的 广播 认证 ， 
ATESLA 协议 通常 由 4 个 阶段 组 成 , 即 密 钥 建 立 广播 密 钥 透露 .感知 结 点 自 举 、 认 证 广播 
数据 包 。 

(1) 密 钥 建 立 。 

发 送 者 首先 生成 一 个 密 钥 序列 ( 密 钥 链 ), 为 了 产生 一 个 长 度 为 n 的 单 向 密 钥 链 ,基站 随 
机 选择 一 个 密 钥 K, ,并 且 通 过 使 用 一 个 单 向 散 列 函 数 下 ,相继 产生 其 他 的 密 钥 : 
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RK; (Ky 
(2) 广播 密 钥 透 露 。 
传感器 网 络 的 生存 时 间 被 分 成 n 个 时 间 间 隔 , 主 机 把 密 钥 链 中 的 每 个 密 钥 和 相应 的 时 
间 间 隔 对 应 起 来 。 在 时 间 间 隔 1 内 ,主机 使 用 当前 密 钥 K, 来 计算 在 这 个 时 间 间 隔 内 数据 包 
的 信息 认证 码 。 然 后 主机 将 时 间 间 隔 t 后 延迟 6 个 时 间 间 隔 广播 密 钥 K, ,这 里 ,6 为 密 钥 透 
露 延 时 ,其 值 由 信息 新 鲜 度 要 求 和 传感器 的 存储 能 力 决 定 。 
(3) 感知 结 点 自 举 。 
单 向 密 钥 链 的 一 个 很 重要 的 特性 ,是 接收 者 通过 使 用 一 个 认证 密 钥 可 以 轻易 地 认证 单 
向 密 钥 链 中 的 后 继 密 钥 。 例 如 ,如 果 接 收 者 有 一 个 密 钥 链 中 的 认证 密 钥 K;, 就 很 容易 通过 
计算 K; 二 FR(Kir1) 来 验证 Ki 。 因 此 ,每 个 结 点 都 需要 密 钥 链 上 的 一 个 可 信和 密 钥 作为 该 链 
的 密 钥 头 , 并 且 知 道 密 钥 的 透露 时 间 表 。 
(4) 认证 广播 数据 包 。 
一 旦 结 点 接收 到 一 个 先前 时 间 间 隔 的 密 钥 K; ,就 使 用 如 下 所 示 的 单 向 函数 下 来 验证 其 
是 否 等 于 前 面 发 布 的 可 信 密 钥 K;: 
K; = FTi(K,) 
如 果 相 等 则 表示 新 密 钥 K; 可 信 ,接收 者 可 以 用 密 钥 K; 认证 在 时 间 间 隔 i 到 j 内 接收 
的 所 有 数据 包 , 同 时 接收 者 用 K; 代替 K; 成 为 新 的 可 信和 密 钥 。 
结 点 认证 广播 包 的 过 程 为 : 在 时 间 间 隔 [T;,T; 十 Ts] 内 ,基站 发 送 广 播 包 P! 和 P， 。 
结 点 接收 到 广播 包 后 通过 时 间 同 步 条 件 判断 ,它们 公布 的 广播 密 钥 K; 还 没有 发 布 出 来 ,于 
是 把 广播 包 保存 起 来 ,等 待 该 密 钥 的 发 布 。 在 Ti+: 时 刻 , 基 站 发 布 Ki, 结 点 计算 F(K;), 检 
验 是 否 等 于 Ki-: ,如 果 相 同 , 则 K; 就 是 合法 密 钥 ; 否则 K; 就 不 是 合法 密 钥 ,应 丢弃 此 密 
钥 。 验 证 通过 后 , 结 点 就 根据 时 间 标 尺 自动 使 用 K; 来 认证 Pl 和 P: 。 假 如 没有 收 到 K;, 结 
点 会 把 P 和 P, 包 的 认证 推迟 到 接收 下 一 个 密 钥 Ki+: 时。 收 到 Ki 后 结 点 会 通过 计算 
FCFCKi+i)) ,看 其 结果 是 否 等 于 天-: 来 确定 密 钥 是 否 合法 。 如 果 合 法 , 则 用 下 式 计 算 K;， 
用 K; 对 Pl 和 P, 进行 认证 。 
Ki = F(Kin) 
整个 广播 数据 包 的 认证 过 程 如 图 4-12 所 示 。 


[gx | xk | 发 布 Ki 


图 4-12 ATESLA 广播 数据 包 的 认证 


4.2.9 无 线 传感器 网 络 路 由 协议 
无 线 传感器 网 络 安全 路 由 协议 的 设计 是 一 个 技术 难题 ,无 线 传感器 网 络 中 所 有 结 点 都 


第 4 章 ”感知 层 安全 技术 


应 可 达 ( 连 通 性 ) ,网 络 结 点 还 要 求 尽量 多 地 覆盖 目标 区 域 . 并 且 要 容许 无 线 传 感 器 网 络 中 部 
分 结 点 由 于 能 量 或 其 他 原因 无 法 正常 工作 。 安 全 路 由 算法 也 要 能 适应 不 同 的 网 络 规模 和 结 
点 密度 ,并 要 具有 一 定 的 服务 质量 要 求 。 因 此 ,除了 低 存储 器 容量 、 低 功 耗 以 外 ,无 线 传感器 
网 络 的 安全 是 设计 者 不 可 忽视 的 重要 因素 。 

无 线 传感器 网 络 的 攻击 者 都 希望 控制 路 由 器 ,以 便 截取 、 自 改 、 欺 骗 或 丢弃 网 络 中 传输 
的 数据 包 。 攻 击 者 可 以 通过 广播 自己 控制 的 结 点 有 更 好 的 连通 性 或 通信 速度 的 方式 来 将 网 
络 中 的 数据 流 导 向 自己 控制 的 结 点 ; 攻击 者 也 可 能 自 改 路 由 控制 数据 包 。 

对 于 任何 路 由 协议 ,路 由 失败 将 导致 网 络 的 数据 传输 能 力 下 降 , 严 重 的 会 导致 整个 网 络 
瘫痪 。 如 何在 动态 拓扑 \ 有 限 计算 能 力 和 严格 能 量 约束 的 网 络 环境 中 确保 安全 路 由 的 实现 
是 一 个 挑战 。 

目前 ,适用 于 无 线 传感器 网 络 的 路 由 协议 比较 多 , 主要 分 为 单 层 路 由 协议 .多 层 路 由 协 
议和 基于 地 理 位置 的 路 由 协议 三 大 类 。 

典型 的 单 层 无 线 传 感 器 网 络 路 由 协议 包括 SPIN 协议 .Directed Diffusion 协议 和 谣言 
协议 等 。 

多 层 路 由 协议 与 单 层 路 由 协议 相 比较 ,具有 更 好 的 可 扩展 性 ,更 易于 进行 数据 融合 ， 
而 减少 能 量 的 消耗 。 在 单 层 路 由 协议 中 ,由 于 网 络 规模 的 扩大 ,网 关 的 负载 将 加 大 ,导致 网 
络 延 时 增 大 。 典 型 的 多 层 路 由 协议 包括 LEACH 协议 .PEGASIS 协议 .TEEN 协议 和 SEC- 
Tree 协议 等 。 

基于 地 理 位 置 的 路 由 协议 需要 知道 传感器 结 点 的 位 置信 息 , 这 些 信息 可 用 于 计算 结 点 
之 间 的 距离 ,估计 能 量 的 消耗 以 及 构建 更 加 高 效 的 路 由 协议 。 由 于 无 线 传感器 结 点 散布 在 
一 个 区 域内 ,并 且 没 有 类 似 IP 地 址 这 样 的 地 址 方案 ,因而 可 以 利用 位 置信 息 来 构建 高 效 的 
路 由 协议 ,以 延长 网 络 的 寿命 。 典 型 的 基于 地 理 位 置 的 路 由 协议 包括 GPSR 协议 .GEAR 
协议 和 TBF 协议 等 。 


1. SPIN 协议 


基于 信息 协商 的 传感器 协议 (Sensor Protocol for Information via Negotiation, SPIN) 
是 一 种 以 数据 为 中 心 的 自 适应 通信 路 由 协议 。 它 通过 使 用 结 点 间 的 协商 制度 和 资源 自 适应 
机 制 , 来 解决 泛 洪 算法 中 的 “内 爆 " 和 “重生 ”问题 ,节省 了 能 量 的 消耗 。SPIN 协议 有 3 种 数 
据 包 类 型 , 即 ADV、REQ 和 DATA。ADYV 用 于 元 数据 的 广播 ,REQ 用 于 请 求 发 送 数 据 ， 
DATA 为 传感器 采集 的 数据 包 。SPIN 协议 以 抽象 的 元 数据 为 数据 命名 , 结 点 收 到 数据 后 ， 
为 了 避免 言 目 传播 ,用 包含 元 数据 的 ADV 消息 向 邻 结 点 通告 ,需要 数据 的 邻 结 点 用 REQ 
消息 提出 请 求 ,数据 通过 DATA 消息 发 送 到 请 求 结 点 。 

传感器 结 点 采用 SPIN 协议 交互 的 基本 过 程 如 下 : 

(1) 结 点 A 采集 到 数据 mx。 向 外 广播 带 有 m 元 数据 (元 数据 指数 据 的 属性 ) 的 adv 数 
据 包 。 

(2) 邻居 结 点 B 收 到 A 的 adv 数据 包 , 根 据 其 携带 的 元 数据 判断 自身 是 否 需 要 数据 mm。 
如 果 不 需要 , 则 销毁 adv 数据 包 。 需 要 则 生成 相应 的 req 数据 包 , 向 外 广播 。 

(3) 结 点 A 收 到 B 的 req 数据 包 请 求 , 生 成 相应 的 data 数据 包 相 外 广播 。 

(4) 结 点 也 收 到 A 的 data 数据 包 , 进 行 数据 m 的 存储 。 
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(5) 结 点 B 继续 向 外 广播 带 有 m 元 数据 的 adv 数据 包 , 从 而 数据 m 在 网 络 中 被 传递 。 

每 个 结 点 都 拥有 一 个 唯一 的 地 址 , 称 为 结 点 的 自身 地 址 。 当 结 点 A 自身 随机 采集 到 有 
效 数据 m 的 时 候 ,A 立即 生成 与 数据 m 相 匹 配 的 元 数据 ,并 将 元 数据 和 自身 的 地 址 封装 成 
adv 数据 包 ,将 其 向 外 广播 。 

当 A 的 邻居 结 点 B 收 到 adv 数据 包 后 , 它 首 先 提取 adv 数据 包 的 元 数据 域 ,查看 其 元 
数据 是 否 为 自身 需要 的 数据 属性 ,如 果 不 需 要 , 则 销毁 adv 数据 包 ; 如 果 需 要 , 则 提取 adv 
数据 包 中 的 A 结 点 的 地 址 作为 目的 地 址 ,将 其 和 元 数据 以 及 自身 地 址 封装 成 相应 的 req 数 
据 包 向 外 广播 。 

这 样 结 点 A 又 收 到 了 req 数据 包 。 首 先 ,A 要 提取 req 数据 包 中 的 目的 地 址 ,判断 其 是 
否 和 自身 的 地 址 相同 。 不 相同 则 表示 此 req 不 是 自身 需要 的 , 则 销毁 req 数据 包 。 相 同 则 
表明 此 数据 包 是 发 给 自身 的 。 提 取 其 源 地 址 作为 目的 地 址 ,提取 其 元 数据 域 ,找到 与 元 数据 
相 匹 配 的 自身 数据 一 同 封装 生成 相应 的 data 包 向 外 广播 。 

邻居 结 点 B 收 到 data 包 之 后 ,也 同样 的 通过 检查 其 目的 地 址 来 判断 其 是 否 为 自身 所 需 
要 的 data 包 。 相 符 则 存储 数据 ,否则 销毁 数据 包 。 当 数据 真正 的 存储 到 了 B 结 点 之 后 ,也 
就 完成 了 一 个 数据 的 转移 。 此 时 , 结 点 B 可 以 发 送 adv 数据 包 , 通 知 其 他 邻居 结 点 , 结 点 B 
拥有 这 个 数据 ,从 而 达到 将 数据 传播 出 去 的 目的 。 

SPIN 协议 的 主要 优点 包括 : 通过 小 ADV 消息 减轻 了 “内 爆 ” 问 题 ; 通过 数据 命名 解决 
了 “ 重 倒 ”问题 ; 结 点 根据 自身 资源 和 应 用 信息 决定 是 否 进行 ADV 通告 ,避免 了 盲目 利用 资 
源 的 问题 ,有 效 地 节约 了 能 量 。 

SPIN 协议 的 主要 缺点 包括 : 当 产 生 或 收 到 数据 的 结 点 的 所 有 邻 结 点 都 不 需要 该 数据 
时 ,将 导致 数据 不 能 继续 转发 ,以 致 较 远 结 点 无 法 得 到 数据 。 当 网 络 中 汇聚 (Sink) 结 点 较 少 
时 ,问题 就 变 得 比较 严重 ; 当 某 汇聚 结 点 对 所 有 数据 都 需要 时 ,其 周围 结 点 的 能 量 容易 耗 
尽 。SPIN 协议 虽然 在 一 定 程度 上 减轻 了 数据 内 爆 , 但 是 在 较 大 规模 的 网 络 中 ,ADV 内 爆 
问题 仍然 存在 。 


2. Directed Diffusion 协议 


定向 扩散 路 由 协议 (Directed Diffusion, DD) 是 一 种 专 为 传感器 网 络 设计 的 路 由 协议 ， 
这 个 协议 是 以 数据 为 中 心 的 路 由 协议 的 一 次 飞跃 ,此 后 许多 路 由 协议 都 是 以 这 个 协议 为 基 
Directed Diffusion 协议 的 实现 过 程 包括 三 个 阶段 : 兴趣 扩散 ,梯度 建立 以 及 路 径 加 强 。 


1) 兴趣 扩散 

汇聚 结 点 查询 兴趣 消息 ,兴趣 消息 采用 泛 洪 的 方法 传播 到 网 络 , 来 通知 整个 网 络 中 的 其 
他 结 点 它 需 要 的 信息 。 

2) 梯度 建立 


在 兴趣 消息 扩散 的 同时 相应 的 路 由 路 径 也 建立 完成 。 有 “兴趣 消息 ”相关 数据 的 普通 结 
点 将 自己 采集 的 数据 通过 建立 好 的 路 径 传送 到 汇聚 结 点 。 

3) 路 径 加强 

最 后 汇聚 (sink) 结 点 选择 一 条 最 优 路 径 作为 强化 路 径 。 

Directed Diffusion 协议 是 一 个 单 层 路 由 协议 ,主要 是 解决 网 络 中 存在 多 个 汇聚 (sink) 
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结 点 及 汇聚 结 点 移动 的 问题 。 当 多 个 结 点 探测 到 事件 发 生 时 ,选择 一 个 结 点 作为 发 送 数 据 
的 源 结 点 , 源 结 点 以 自身 作为 格 状 网 (grid) 的 一 个 交叉 点 构造 一 个 格 状 网 。 其 过 程 是 : 源 结 
点 先 计 算出 相 邻 交叉 点 位 置 , 利 用 贪心 算法 请 求 最 接近 该 位 置 的 结 点 成 为 新 交叉 点 ,新 交叉 
点 继续 该 过 程 直至 请 求 过 期 或 到 达 网 络 边缘 交叉 点 保存 了 事件 和 源 结 点 信息 。 进 行 数据 查 
询 时 ,sink 点 本 地 flooding 查询 请 求 到 最 近 的 交叉 结 点 ,此 后 查询 请 求 在 交叉 点 间 传 播 ,最 
终 源 结 点 收 到 查询 请 求 ,数据 反 向 传送 到 sink 点 。sink 点 在 等 待 数据 时 ,可 继续 移动 ,并 采 
用 代理 (Agent) 机 制 保证 数据 可 靠 传递 。 与 Directed Diffusion 协议 相 比 ,该 协议 采用 单 路 
径 , 能 够 提高 网 络 生存 时 间 ,但 计算 与 维护 格 状 网 的 开销 较 大 ; 结 点 必须 知道 自身 位 置 ; 非 
sink 点 位 置 不 能 移动 ; 要 求 结 点 密度 较 大 。 


3. 谣言 协议 


谣言 协议 (Rumor) 是 在 Directed Diffusion 协议 的 基础 上 改进 而 来 的 。 对 于 Directed 
Diffusion 协议 ,如 果 sink 结 点 的 一 次 查询 只 须 一 次 上 报 ,Directed Diffusion 协议 开销 就 太 
大 了 。Rumor 协议 正 是 为 解决 此 问题 而 设计 的 。 

Rumor 协议 借鉴 了 欧 氏 平面 图 上 任意 两 条 曲线 交叉 几率 很 大 的 思想 。 当 结 点 监测 到 
事件 后 将 其 保存 ,并 创建 称 为 Agent 的 生命 周期 较 长 的 包括 事件 和 源 结 点 信息 的 数据 包 ， 
将 其 按 一 条 或 多 条 随机 路 径 在 网 络 中 转发 。 收 到 Agent 的 结 点 根据 事件 和 源 结 点 信息 建 
立 反 向 路 径 , 并 将 Agent 再 次 随机 发 送 到 相 邻 结 点 ,并 可 在 再 次 发 送 前 在 Agent 中 增加 其 
已 知 的 事件 信息 。sink 点 的 查询 请 求 也 沿 着 一 条 随机 路 径 转发 , 当 两 路 径 交 叉 时 则 路 由 建 
立 ; 如 不 交叉 ,sink 点 可 flooding 查询 请 求 。 

在 多 sink 点 ,查询 请 求 数目 很 大 、 网 络 事件 很 少 的 情况 下 ,Rumor 协议 较为 有 效 。 但 如 
果 事 件 非常 多 ,维护 事件 表 和 收发 Agent 带 来 的 开销 会 很 大 。 


4. LEACH 协议 


低 功 耗 自 适 应 集 簇 分 层 型 协议 (Low Energy Adaptive Clustering Hierarchy, LEACH) 
是 一 种 无 线 传感器 网 络 路 由 协议 ,是 第 一 个 数据 聚合 的 层次 路 由 协议 。 基 于 LEACH 协议 
的 算法 , 称 为 LEACH 算法 。 

LEACH 算法 的 基本 思想 是 : 以 循环 的 方式 随机 选择 簇 头 结 点 ,将 整个 网 络 的 能 量 负 
载 平均 分 配 到 每 个 传感器 结 点 中 ,从 而 达到 降低 网 络 能 源 消耗 ,提高 网 络 整体 生存 时 间 的 目 
的 。 与 一 般 的 平面 多 跳 路 由 协议 和 静态 分 层 算法 相 比 ,LEACH 分 簇 协 议 可 以 将 网 络 生 命 
周期 延长 15%。 

LEACH 算法 在 运行 过 程 中 不 断 地 循环 执行 簇 的 重 构 过 程 ,每 个 簇 重 构 过 程 可 以 用 回 
合 的 概念 来 描述 。 每 个 回合 可 以 分 成 两 个 阶段 : 簇 的 建立 阶段 和 传输 数据 的 稳定 阶段 。 为 
了 节省 资源 开销 ,稳定 阶段 的 持续 时 间 要 大 于 建立 阶段 的 持续 时 间 。 簇 的 建立 过 程 可 分 成 
4 个 阶段 : 簇 头 结 点 的 选择 、 簇 头 结 点 的 广播 、 秘 头 结 点 的 建立 和 调度 机 制 的 生成 。 

徐 头 结 点 的 选择 依据 网 络 中 所 需要 的 簇 头 结 点 总 数 和 迄今 为 止 每 个 结 点 已 成 为 簇 头 结 
点 的 次 数 来 决定 。 具 体 的 选择 办 法 是 : 每 个 传感器 结 点 随机 选择 0 一 1 之 间 的 一 个 值 。 如 
果 选 定 的 值 小 于 某 一 个 国 值 ,那么 这 个 结 点 成 为 簇 头 结 点 。 

选 定 簇 头 结 点 后 ,通过 广播 告知 整个 网 络 。 网 络 中 的 其 他 结 点 根据 接收 信息 的 信和 号 强 
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度 决 定 从 属 的 簇 ,并 通知 相应 的 簇 头 结 点 ,完成 驴 的 建立 。 最 后 , 簇 头 结 点 采用 TDMA 方 
式 为 簇 中 每 个 结 点 分 配 向 其 传递 数据 的 时 间 点 。 

稳定 阶段 中 ,传感器 结 点 将 采集 的 数据 传送 到 簇 头 结 点 。 簇 头 结 点 对 簇 中 所 有 结 点 所 
采集 的 数据 进行 信息 融合 后 再 传送 给 汇聚 结 点 ,这 是 一 种 较 少 通信 业务 量 的 合理 工作 模型 。 
稳定 阶段 持续 一 段 时 间 后 ,网 络 重新 进入 徐 的 建立 阶段 ,进行 下 一 回合 的 簇 重 构 ,不 断 循环 ， 
每 个 簇 采用 不 同 的 CDMA 代码 进行 通信 来 减少 其 他 簇 内 结 点 的 干扰 。 

LEACH 路 由 协议 主要 分 为 两 个 阶段 : 即 复 建立 阶段 (setup phase) 和 稳定 运行 阶段 
(ready phase) 。 簇 建立 阶段 和 稳定 运行 阶段 所 持续 的 时 间 总 和 为 一 轮 (round)。 为 减少 协 
议 开销 ,稳定 运行 阶段 的 持续 时 间 要 长 于 簇 建立 阶段 。 

在 簇 建立 阶段 ,传感器 结 点 随机 生成 一 个 0,1 之 间 的 随机 数 ,并 且 与 阐 值 T(x) 做 比较 ， 
如 果 小 于 该 阐 值 , 则 该 结 点 就 会 当选 为 簇 头 。T(n) 按 照 下 列 公 式 计算 : 


一 一 一 一 一 一 ， EG 
Tn) = A 


0， ngoG 
式 中 ,p 为 结 点 成 为 簇 头 结 点 的 百分数 ,r 为 当前 轮 数 ,G 为 在 最 近 的 1/p 轮 中 未 当选 复 头 
的 结 点 集合 。 簇 头 结 点 选 定 后 ,广播 自己 成 为 簇 头 的 消息 , 结 点 根据 接收 到 的 消息 的 强度 决 
定 加 入 哪个 艇 ,并 告知 相应 的 簇 关 , 完 成 马 的 建立 过 程 。 然 后 , 簇 头 结 点 采用 TDMA 的 方 
式 , 为 簇 内 成 员 分 配 传送 数据 的 时 际 。 

在 稳定 阶段 ,传感器 结 点 将 采集 的 数据 传送 到 簇 头 结 点 。 簇 头 结 点 对 采集 的 数据 进行 
数据 融合 后 再 将 信息 传送 给 汇聚 结 点 ,汇聚 结 点 将 数据 传送 给 监控 中 心 来 进行 数据 的 处 理 。 
稳定 阶段 持续 一 段 时 间 后 ,网 络 重新 进入 徐 的 建立 阶段 ,进行 下 一 轮 的 簇 重 建 ,不 断 循环 。 

LEACH 协议 是 一 种 完全 分 布 式 的 路 由 协议 , 结 点 不 需要 保存 任何 关于 网 络 拓 扑 结 构 
的 信息 ; 同时 ,通过 动态 和 随机 地 选择 簇 头 的 方法 ,延长 了 网 络 的 寿命 。 但 是 ,在 LEACH 
协议 中 ,每 一 个 氮 头 都 可 以 直接 和 汇聚 结 点 进行 通信 ,限制 了 网 络 的 规模 。 换 言 之 ， 
LEACH 协议 仅 适用 于 结 点 可 以 直接 和 汇聚 结 点 进行 通信 的 无 线 传感器 网 络 。 并 且 ,动态 
地 选择 徐 头 需要 额外 的 开销 。 


5. PEGASIS 协议 


传感器 信息 系统 能 量 有 效 聚 集 协 议 (Power Efficient Gathering in Sensor Information 
Systems,PEGASIS) 是 对 LEACH 协议 的 一 种 改进 。PEGASIS 协议 的 基本 思想 是 : 为 了 
延长 网 络 的 生命 周期 , 结 点 只 需要 与 它们 最 接近 的 邻居 进行 通信 。 

在 PEGASIS 协议 中 , 结 点 与 汇聚 点 间 的 通信 过 程 是 轮流 进行 的 , 当 所 有 结 点 都 与 汇聚 
点 通信 后 , 结 点 间 再 进行 新 一 回合 的 轮流 进行 的 。 由 于 这 种 轮流 通信 机 制 使 得 能 量 消耗 能 
够 统一 的 分 布 到 每 个 结 点 上 ,因此 降低 了 整个 传输 所 需要 消耗 的 能 量 。 

不 同 于 LEACH 的 多 簇 结构 ,PEGASIS 协议 在 传感器 结 点 中 采用 链 式 结构 进行 链接 。 
运行 PEGASIS 协议 时 每 个 结 点 首先 利用 信号 的 强度 来 衡量 其 所 有 邻居 结 点 距离 的 远近 ， 
在 确定 其 最 近邻 居 的 同时 调整 发 送信 号 的 强度 以 便 只 有 这 个 邻居 能 够 听 到 。 其 次 , 链 中 每 
个 结 点 向 邻居 结 点 发 送 数据 ,并 且 只 选择 一 个 结 点 作为 链 首 向 汇聚 结 点 传输 数据 。 采 集 到 
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的 数据 以 点 对 点 的 方式 传递 .融合 ,并 最 终 被 送 到 汇聚 结 点 PEGASIS 协议 是 对 LEACH 协 
议 的 改进 , 它 减少 了 LEACH 簇 重 构 产生 的 能 量 开销 ,并 通过 数据 融合 技术 降低 了 结 点 的 
能 量 消耗 ,与 LEACH 协议 比较 ,PEGASIS 协议 延长 了 网 络 生存 周期 大 约 2 倍 。 

PEGASIS 协议 与 LEACH 协议 相 比 较 , 在 节省 能 量 方面 主要 体现 在 以 下 几 点 : 

(1) 在 传感器 结 点 进行 本 地 数据 通信 阶段 ,PEGASIS 协议 的 算法 中 ,每 个 结 点 只 和 自 
己 距 离 最 近 的 邻居 结 点 进行 通信 。 在 LEACH 协议 算法 中 ,每 个 非 簇 头 结 点 都 需要 直接 与 
所 在 簇 的 徐 头 结 点 进行 通信 。 因 此 ,PEGASIS 协议 的 算法 减少 了 每 轮 通信 中 每 个 结 点 的 通 
信和 距离 ,从 而 节省 了 每 个 结 点 的 能 量 。 

(2) 在 PEGASIS 协议 算法 中 ,Leader 结 点 最 多 只 接收 两 个 邻居 结 点 的 数据 以 及 向 基 
站 发 送 网 络 的 数据 。 而 LEACH 协议 的 算法 中 ,每 个 簇 尖 结 点 除了 向 基站 发 送 网 络 的 数据 
之 外 ,还 要 接收 来 自 所 在 簇 内 的 所 有 非 复 头 结 点 的 数据 , 徐 头 结 点 接收 的 数据 量 远 远大 于 
PEGASIS 协议 中 Leader 结 点 所 接收 的 数据 量 。 所 以 LEACH 协议 中 簇 头 结 点 的 能 量 消耗 
过 快 ,不 利于 均衡 结 点 的 能 量 消耗 。 

(3) 在 每 一 轮 通 信 的 过 程 中 ,PEGASIS 协议 中 只 有 1 个 Leader 结 点 与 基站 通信 ,而 
LEACH 协议 中 有 许多 簇 头 结 点 与 基站 通信 。 基 站 的 位 置 又 是 远离 网 络 的 ,这 样 就 会 使 得 
网 络 中 结 点 的 能 量 消耗 过 快 ,不 利于 节省 能 量 。 所 以 PEGASIS 协议 的 网 络 生 命 周 期 要 长 
与 LEACH 协议 的 网 络 生命 周期 。 

PEGASIS 协议 的 主要 优点 是 减少 了 LEACH 在 簇 重 构 过 程 中 所 产生 的 开销 ,并 且 通 
过 数据 融合 降低 了 收发 过 程 的 次 数 , 从 而 降低 了 能 量 的 消耗 ,与 LEACH 相 比 , PEGASIS 
能 够 提高 网 络 的 生存 周期 近 2 倍 。 

PEGASIS 协议 的 缺点 如 下 : 

(1) PEGASIS 协议 假定 每 个 传感器 结 点 能 够 直接 与 汇聚 结 点 通信 ,而 在 实际 网 络 中 ， 
传感器 结 点 一 般 需 要 采用 多 跳 方 式 到 达 汇 聚 结 点 

(2) PEGASIS 协议 假定 所 有 的 传感器 结 点 都 具有 相同 级 别 的 能 量 , 因 此 结 点 很 可 能 在 
同一 时 间 内 全 部 死亡 ; 

(3) 尽管 协议 避免 了 重 构 复 的 开销 ,但 由 于 传感器 结 点 需要 知道 邻居 的 能 量 状态 以 便 
传送 数据 ,协议 仍 需 要 动态 调整 拓扑 结构 。 对 那些 利用 率 高 的 网 络 而 言 ,拓扑 的 调整 会 带 来 
更 大 的 开销 ; 

(4) 协议 所 构建 的 链接 中 ,和 远 距离 的 结 点 会 引起 过 多 的 数据 延迟 ,而 且 链 首 结 点 的 唯一 
性 使 得 链 首 会 成 为 瓶颈 。 


6. TEEN 协议 


阅 值 敏感 的 高 效 节能 的 传感器 网 络 协议 (Threshold-sensitive Energy Efficient sensor 
Network protocol,TEEN) 是 一 种 层次 路 由 协议 ,利用 过 滤 的 方式 来 减少 数据 传输 量 。 
TEEN 协议 采用 与 LEACH 相同 的 多 簇 结构 运行 方式 。 不 同 的 是 ,在 簇 的 建立 过 程 中 , 随 
着 徐 首 结 点 的 选 定 , 簇 首 结 点 除了 通过 TDMA 方法 实现 数据 的 调度 ,还 向 入 内 成 员 广 播 有 
关 数 据 的 硬 阔 值 和 软 阔 值 这 两 个 门限 参数 。 

硬 阔 值 是 指 被 检测 数据 所 不 能 逾越 的 阔 值 ; 软 阔 值 则 是 指 被 检测 数据 的 变动 范围 。 

在 传输 数据 的 稳定 阶段 , 结 点 通过 传感器 不 断 地 感知 其 周围 环境 。 当 结 点 首次 检测 到 
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数据 到 达 硬 阔 值 , 便 打开 收发 器 进行 数据 传送 ,同时 将 该 检测 值 存 人 内 部 变量 SV 中 , 结 点 
再 次 进行 数据 传送 时 要 满足 两 个 条 件 : 当前 的 检测 值 大 于 硬 阔 值 ; 当前 的 检测 值 与 SV 的 
差异 等 于 或 大 于 软 阔 值 。 只 要 结 点 发 送 数据 ,变量 SV 便 设 置 为 当前 的 检测 值 , 在 得 重 构 的 
过 程 中 ,如 果 新 一 回合 的 簇 首 结 点 已 经 确定 ,该 簇 首 将 重新 设 定 和 发 布 以 上 2 个 参数 。 

TEEN 协议 适合 于 需要 实时 感知 的 应 用 环境 中 ,通过 设置 硬 阔 值 和 软 阔 值 2 个 参数 ， 
TEEN 可 以 大 大 减少 数据 传送 的 次 数 , 比 LEACH 节约 能 量 。 由 于 软 阐 值 可 以 改变 ,监控 
者 可 以 通过 设置 不 同 的 软 阔 值 可 以 方便 地 平衡 监测 准确 性 与 系统 节能 指标 。 随 着 徐 首 结 点 
的 变化 ,用 户 可 以 根据 需要 重新 设 定 2 个 参数 的 值 , 从 而 控制 数据 传输 的 次 数 。 

TEEN 协议 的 缺点 是 不 适合 应 用 于 需要 周期 性 采集 数据 的 应 用 系统 中 ,这 是 因为 如 果 
网 络 中 的 结 点 没有 收 到 相关 的 阔 值 ,那么 结 点 就 不 会 与 汇聚 结 点 进行 通信 ,用 户 也 就 完全 得 
不 到 网 络 的 任何 数据 。 


7. SEC-Tree 协议 


中 国学 者 刘 丹 等 人 针对 无 线 传感器 网 络 的 广泛 应 用 及 其 对 低能 耗 ,高 安全 性 迫切 需求 ， 
提出 了 基于 树 的 安全 性 和 能 量 (Security and Energy Considering Tree,SEC-Tree) 的 拓扑 结 
构 。 并 以 SEC-Tree 拓扑 结构 为 基础 ,设计 了 多 层 多 路 径路 由 协议 ,给 出 了 一 个 自 适应 多 路 
径路 由 算法 。 提 出 一 种 PSK 密 钥 生成 算法 ,并 将 PSK 密 钥 应 用 于 SEC-Tree 初始 化 及 路 由 
维护 中 ,实现 了 基于 局 部 化 的 加 密 和 鉴别 技术 ,使 该 协议 具有 良好 的 安全 特征 、 抗 攻击 能 力 
和 多 跳 . 多 路 径路 由 的 可 靠 特 征 。 

为 防止 各 类 攻击 ,PSK 密 钥 在 WSN 路 由 邻接 结 点 之 间 进 行 信息 加 密 传 送 ,在 相 邻 结 点 
相互 身份 鉴别 之 后 才 生 成 密 钥 ,以 提高 网 络 安 全 性 。 具 体 步 又 如 下 : 

(1) 在 网 络 初始 化 阶段 ,由 可 信任 的 接收 中 心 Csink) 生 成 主 密 钥 如 ,并 配置 给 各 个 传 感 
器 结 点 。 结 点 i 根据 主 密 钥 生 成 自己 的 对 称 密 钥 &; 二 fC 让 ,其 中 fi 是 伪 随 机 函数 。 

(2) 结 点 对 (CT,7 在 路 由 初始 化 时 进行 双向 身份 鉴别 。 

(3) 结 点 i 给 结 点 j 发 送 请 求 身份 鉴别 消息 包 , 其 中 包含 自己 的 ID 和 消息 认证 码 {i， 
MACCA ,0)}; 

(4) 结 点 7 收 到 结 点 i 的 消息 后 ,根据 i 计算 出 k;, 并 用 其 解密 ,完成 对 i 的 鉴别 功能 , 鉴 
别 成 功 则 进入 下 一 步 ,否则 算法 结束 ; 

(5) 结 点 j 给 结 点 i 发 送 确 认 信 息 , 其 中 包含 自己 的 ID 和 消息 认证 码 {j, MAC(kj ,站 ); 

(6) 结 点 i 收 到 j 的 应 管 信息 后 ,根据 7 计算 出 &;, 并 用 其 解密 ,完成 对 j 鉴别 功能 , 鉴 
别 成 功 则 进入 下 一 步 , 否 则 算法 结束 ; 

(7) 结 点 对 (i, 站 各 自生 成 ij 间 的 PSK 密 钥 : kj 二 /402); 

(8) 各 结 点 保留 自己 的 密 钥 和 PSK 密 钥 ,清除 其 他 密 钥 , 对 于 i, 保留 密 钥 k; 和 ks 。 

SEC-Tree 对 分 层 路 由 机 制 进行 改进 ,将 结 点 到 簇 头 的 数据 交付 修改 为 多 跳 交 付 机 制 ， 
以 减 小 数据 传递 的 能 耗 , 适 应 大 规模 WSN 应 用 需求 。 同 时 ,针对 SEC-Tree 的 特性 ,设计 自 
适应 多 路 径 安全 路 由 策略 ,增强 路 由 协议 的 抗 攻击 能 力 与 容错 能 力 , 提 高 了 可 靠 性 。 


8. GPSR 协议 


贪 焚 边 界 无 状态 路 由 协议 (Greedy Perimeter Stateless Routing,GPSR) 是 一 种 典型 的 
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基于 地 理 位 置 的 路 由 协议 ,使 用 GPSR 协议 ,网 络 结 点 都 知道 自身 地 理 位 置 并 被 统一 编 址 ， 
各 结 点 利用 贪 禁 算法 尽量 沿 直线 转发 数据 。 

GPSR 是 使 用 地 理 位 置信 息 实现 路 由 ( 非 辅 助 作用 ) 的 一 种 路 由 协议 , 它 使 用 贪 梦 算法 
来 建立 路 由 。 当 结 点 S 需要 向 结 点 D 转发 数据 分 组 的 时 候 , 它 首先 在 自己 的 所 有 邻居 结 点 
中 选择 一 个 距 结 点 D 最 近 的 结 点 作为 数据 分 组 的 下 一 跳 ,然后 将 数据 传送 给 它 。 该 过 程 一 
直 重 复 ,直到 数据 分 组 到 达 目 的 结 点 D 或 某 个 最 佳 主机 。 

产生 或 收 到 数据 的 结 点 向 以 欧 氏 距离 计算 出 的 最 靠近 目的 结 点 的 邻 结 点 转发 数据 ,但 
由 于 数据 会 到 达 没 有 比 该 结 点 更 接近 目的 点 的 区 域 ( 称 为 空洞 ), 导 致 数据 无 法 传输 , 当 出 现 
这 种 情况 时 ,空洞 周围 的 结 点 能 够 探测 到 ,并 利用 右手 法 则 沿 空洞 周围 传输 来 解决 此 问题 。 
该 协议 避免 了 在 结 点 中 建立 、 维 护 、 存 储 路 由 表 , 只 依赖 直接 邻 结 点 进行 路 由 选择 ,几乎 是 一 
个 无 状态 的 协议 ; 且 使 用 接近 于 最 短 欧 氏 距离 的 路 由 ,数据 传输 时 延 小 ; 并 能 保证 只 要 网 
络 连 通 性 不 被 破坏 ,一 定 能 够 发 现 可 达 路 由 。 

GPSR 协议 的 缺点 是 , 当 网 络 中 汇聚 结 点 和 源 结 点 分 别 集中 在 两 个 区 域 时 ,由 于 通信 和 量 
不 平衡 易 导 致 部 分 结 点 失效 ,从 而 破坏 网 络 连通 性 ; 需要 GPS 定位 系统 或 其 他 定位 方法 协 
助 计算 结 点 位 置信 息 。 


9. GEAR 协议 


地 理 和 能 量 感知 路 由 协议 (Geographic and Energy Aware Routing,GEAR ) 也 是 
Directed Diffusion 协议 的 一 种 改进 ,这 种 协议 并 不 采用 向 整个 网 络 广播 的 方式 ,而 是 利用 地 
理 位 置信 息 ,向 某 一 特定 区 域 发 布 数据 包 ,该 协议 利用 能 量 和 地 理 位 置信 息 作为 启发 式 选 择 
路 径 向 目标 区 域 传送 数据 。 由 于 GEAR 只 向 某 个 特定 区 域 发 送 数据 包 , 而 不 是 像 DD 那样 
发 布 到 整个 网 络 , 因 此 GEAR 相对 Directed Diffusion 协议 更 加 节省 能 量 。 

GEAR 协议 的 开销 包括 预 估 费 用 和 修正 费用 两 部 分 。 预 估 费 用 是 指 结 点 剩余 能 量 的 
费用 和 到 目的 结 点 的 费用 ; 修正 费用 则 是 对 描述 网 络 中 环绕 在 空洞 周围 路 由 所 需 预 估 费 用 
的 修正 ,如 果 没 有 空洞 现象 的 产生 ,那么 预 估 费 用 等 于 修正 费用 。 这 里 ,空洞 是 指 某 个 结 点 
的 周围 的 没有 任何 邻居 结 点 比 它 自身 更 接近 目标 的 区 域 。 每 当 一 个 数据 包 成 功 到 达 目 的 
地 ,该 结 点 的 修正 费用 就 要 传播 到 上 一 跳 以 便于 对 下 一 跳 数 据 包 的 路 由 建立 进行 调整 。 

GEAR 协议 的 工作 过 程 分 为 以 下 两 个 阶段 。 

1) 向 目标 区 域 传递 数据 包 

当 结 点 收 到 数据 包 时 ,首先 要 检查 是 否 有 邻居 结 点 比 它 更 接近 目标 区 域 。 如 果 有 ,就 选 
择 距 离 目 标 区 域 最近 的 结 点 作为 数据 传递 的 下 一 跳 结 点 。 如 果 相 对 该 结 点 来 说 ,所 有 邻居 
都 比 它 更 远离 目标 区 域 , 这 就 意味 着 该 结 点 存在 空洞 现象 。 在 这 种 情况 下 ,利用 修正 费用 选 
择 其 中 的 一 个 邻居 结 点 来 转发 数据 包 。 

2) 在 目标 区 域内 广播 数据 包 

如 果 数 据 包 已 经 到 达 目 标 区 域 ,可 以 利用 递归 的 地 理 传递 方式 和 受 限 的 Flooding 方式 
发 布 该 数据 包 。 当 传感器 结 点 的 分 布 不 太 紧密 时 , 受 限 的 flooding 方式 是 比较 好 的 选择 。 
而 在 高 密度 的 无 线 传感器 网 络 内 ,递归 的 地 理 传递 方式 相对 受 限 的 flooding 方式 更 加 节能 。 
在 这 种 情况 下 ,目标 区 域 被 划分 为 4 个 子 区 域 。 数 据 包 也 相应 地 被 复制 了 4 次 ,这 种 分 割 和 
数据 传递 过 程 不 断 重复 ,直到 区 域内 只 剩 下 一 个 结 点 为 止 。 
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10. TBF 协议 


临时 数据 块 流 协 议 (Temporary Block Flow,TBF) 是 一 种 基于 源 结 点 和 位 置 的 路 由 协 
议 。 与 通常 的 基于 源 结 点 的 路 由 协议 不 同 ,TBF 协议 利用 参数 在 数据 包 的 头 部 中 指定 一 条 
连续 的 传输 轨道 ,而 不 是 路 由 结 点 序列 ; 与 前 面 介 绍 的 基于 位 置 的 GPRS 路 由 协议 不 同 ， 
TBF 协议 也 不 是 沿 着 最 短路 径 传播 数据 的 。 

临时 数据 块 流 是 指 两 个 无 线 资源 实体 所 使 用 的 一 个 数据 块 流 , 以 达到 在 分 组 数据 信道 
(Packet Data CHannel,PDCH) 上 支持 单 向 传递 逻辑 链 路 控制 协议 数据 单元 (Logical Link 
Control Protocol Data Unit,LLC PDU) 的 目的 。 网 络 可 以 给 TBF 分 配 一 个 或 多 个 PDCH 
信道 。 一 个 TBF 包含 很 多 RLC/MAC 块 ,用 来 承载 一 个 或 多 个 LLC PDU。 

网 络 给 每 一 个 TBF 安排 一 个 临时 数据 块 标识 (Temporary Flow Indicator,TFI) ,用 来 
唯一 的 标识 一 个 TBF。 在 上 行 链 路 方向 ,TBF 协议 使 用 上 传 状态 标记 (Uplink Status Flag， 
USF) ,从 而 允许 不 同 的 移动 站 点 (Mobile Site, MS) 动 态 复 用 一 个 无 线 数据 块 。USF 包含 
在 下 行 RLC/MAC 块 的 块头 内 , 当 MS 收 到 一 个 下 行 RLC/MAC 块 内 的 USF 值 与 之 前 分 
配给 移动 站 点 的 USF 值 相同 时 ,MS 就 准备 在 上 行 链 路 的 对 应 时 际 进 行 上 行 RLC/MAC 块 
的 传递 。 

TBF 协议 主要 有 以 下 几 个 特点 : 可 利用 GPRS 协议 的 方法 或 其 他 方法 避 开 空洞 ; 通过 
指定 不 同 的 轨道 参数 ,容易 实现 多 路 径 传播 和 广播 ,对 特定 区 域 的 广播 和 多 播 ; 允许 网 络 拓 
扑 变 化 ,可 避免 传统 源 站 路 由 协议 的 缺点 。 现 代 网 络 发 展 中 的 不 利 因素 主要 是 : 随 着 网 络 
规模 变 大 ,路径 加 长 ,沿途 结 点 进行 计算 的 开销 也 相应 增加 ; 且 需 要 GPS 定位 系统 或 其 他 
定位 方法 协助 计算 结 点 位 置信 息 。 


4.2.10 无 线 传感器 网 络 密 钥 管理 机 制 


在 所 有 的 无 线 传感器 网 络 的 安全 解决 方案 中 ,加 密 技术 是 一 切 安全 技术 的 基础 。 通 过 
加 密 技术 可 以 满足 感知 信息 认证 、 机 密 性 、 不 可 否认 性 、 完 整 性 等 安全 需求 。 对 于 加 密 技术 
来 说 , 密 钥 管理 是 其 中 最 关键 的 一 个 因素 。 

针对 无 线 传感器 网 络 的 特点 ,近年 来 研究 者 们 已 经 提出 了 许多 关于 密 钥 管理 的 方案 ,但 
这 些 方案 都 有 自己 不 同 的 侧重 点 和 优 缺 点 。 本 节 从 无 线 传 感 器 网 络 的 安全 角度 人 手 , 分 别 
对 各 种 方案 的 计算 复杂 度 、 结 点 被 俘 后 网 络 的 恢复 能 力 、 网 络 的 扩展 性 和 支持 的 网 络 规模 等 
方面 进行 分 析 , 讨 论 各 种 适合 无 线 传感器 网 络 的 典型 密 钥 管理 方案 的 优 缺 点 。 

由 于 无 线 传 感 器 网 络 面临 特殊 的 安全 威胁 ,因此 传统 的 网 络 密 钥 管理 方案 已 经 不 再 适 
合 于 无 线 传感器 网 络 。 针 对 其 特殊 性 ,目前 已 经 提出 多 种 密 钥 管理 方案 ,包括 分 布 式 密 钥 管 
理 方案 (如 预 署 所 有 对 密 钥 方案 、 随 机 密 钥 预 分 配方 案 等 ) 和 分 复式 密 钥 管理 方案 (如 低能 耗 
密 钥 管 理 方案 、 轻 量 级 密 钥 管理 方案 等 )。 


1. 分 布 式 的 密 钥 管理 方案 


在 分 布 式 的 无 线 传感器 网 络 中 ,没有 固定 基础 设施 .网 络 结 点 之 间 的 能 量 和 功能 都 是 相 
同 的 。 当 部 署 分 布 式 的 网 络 时 ,将 结 点 随机 地 投掷 到 目标 区 域 ,各 结 点 自 组 织 地 形成 网 络 , 
其 网 络 结构 如 图 4-13 所 示 。 


图 4-13 分 布 式 无 线 传感器 网 络 体系 结构 


目前 ,已 经 提出 了 多 种 分 布 式 的 密 钥 管理 方案 。 例 如 预 署 全 局 密 钥 的 方案 . 预 置 所 有 结 
点 对 密 钥 的 方案 和 随机 预 分 配 密 钥 的 方案 等 。 

1) 预 置 全 局 密 钥 的 方案 

在 TinyOS 系统 的 TinySec 中 便 采取 了 这 种 安全 机 制 , 它 是 最 简单 的 密 钥 建立 过 程 。 
所 有 的 传感器 结 点 预 配置 一 个 相同 的 密 钥 , 所 有 的 结 点 均 利 用 该 密 钥 进行 加 密 、 解 密 、 认 证 
以 及 密 钥 的 协商 和 更 新 。 这 种 方案 的 优点 是 计算 复杂 度 低 ,由 于 网 络 中 只 有 一 个 密 钥 , 所 以 
很 容易 增加 新 的 结 点 ; 缺点 是 网 络 的 安全 性 较 差 ,任何 一 个 结 点 被 俘获 就 会 导致 整个 网 络 

2) 预 置 所 有 结 点 对 密 钥 的 方案 

预 置 所 有 结 点 对 密 钥 的 密 钥 管 理 方案 是 由 Bocheng 等 人 提出 的 。 其 主要 思想 是 每 对 
结 点 之 间 共 享 一 对 密 钥 ,以 保证 每 对 结 点 间 的 通信 都 可 以 使 用 预 配置 的 共享 密 钥 加 密 , 其 要 
求 每 个 结 点 存储 的 对 密 钥 数 为 n 一 1 个 (n 为 网 络 结 点 总 数 )。 该 方案 的 优点 是 不 依赖 于 基 
站 ,灵活 性 比较 强 , 计 算 复杂 度 低 , 任 意 两 个 结 点 间 的 密 钥 是 独 享 的 ,所 以 当 一 个 结 点 被 俘获 
后 不 会 影响 网 络 中 其 他 结 点 通信 的 安全 性 ; 缺点 是 支持 网 络 的 规模 小 ,因为 传感器 结 点 的 
存储 量 有 限 , 当 网 络 中 结 点 数目 足够 大 的 时 候 , n 一 1 个 密 钥 的 存储 量 将 大 大 地 超过 结 点 的 
存储 量 ,可 扩展 性 不 好 ,不 支持 新 结 点 的 加 入 。 

3) 随机 密 钥 预 分 配方 案 

随机 密 钥 预 分 配方 案 是 由 Eschenauer 和 Gligor 等 人 最 早 提出 的 ,其 主要 思想 是 从 预 置 
所 有 对 密 角 方案 改进 的 。 它 将 预存 网 络 中 的 所 有 对 密 钥 改 为 预存 部 分 密 钥 , 减 小 了 对 结 点 
资源 的 要 求 。 随 机 密 钥 预 分 配 的 具体 实施 过 程 如 下 : 

(1) 密 钥 的 产生 。 

首先 产生 一 个 大 的 密 钥 池 S ,并 为 每 个 密 钥 分 配 一 个 标识 符 ID(Identity) ,然后 从 密 铀 
池 S 中 随机 选取 K 个 密 钥 存 信 结 点 的 存储 器 里 , K 个 密 钥 称 为 结 点 的 密 钥 环 。K 的 选择 
应 保证 每 两 个 结 点 之 间 至 少 拥有 一 个 共享 密 钥 的 概率 大 于 一 个 预先 设 定 的 概率 了 P。 

(2) 共享 密 钥 的 发 现 。 

每 个 结 点 广播 自己 密 钥 链 中 所 有 密 钥 的 标识 符 ID , 找 出 位 于 自己 通信 范围 内 的 与 自己 
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有 共享 密 钥 的 结 点 。 共 享 密 钥 发 现 阶段 建立 了 结 点 排列 的 拓扑 结构 , 当 两 个 结 点 间 存 在 共 
享 密 钥 时 ,这 两 个 结 点 间 就 存在 一 个 连接 ,通过 链 路 加 密 所 有 基于 该 连接 的 通信 都 是 安 
全 的 。 

(3) 路 径 密 钥 的 建立 。 

结 点 和 那些 与 自己 没有 共享 密 钥 的 邻居 结 点 通过 已 有 的 安全 连接 协商 路 径 密 钥 ,以 后 
这 些 结 点 之 间 就 可 以 通过 路 径 密 钥 建立 安全 连接 。 

当 检 测 到 一 个 结 点 被 俘获 时 ,为 了 有 效 地 删除 结 点 的 密 钥 链 ,控制 结 点 广播 被 俘 结 点 所 
有 和 密 钥 的 标识 符 ID, 其 他 结 点 收 到 信息 后 删除 自己 密 钥 链 中 含有 相同 标识 符 ID 对 应 的 密 
钥 。 一 旦 密 钥 从 密 钥 链 上 删除 ,与 删除 的 密 钥 相关 的 连接 将 会 消失 , 受 影响 的 结 点 需要 重新 
启动 共享 密 钥 发 现 以 及 路 径 密 钥 的 建立 。 这 种 方案 的 优点 是 计算 复杂 度 比 较 低 ,网 络 具有 
一 定 的 扩展 能 力 , 实 现 简单 ; 缺点 是 对 部 分 结 点 被 俘获 的 抵抗 性 太 差 ,攻击 者 可 以 通过 交换 
的 标识 符 ID 分 析出 网 络 的 安全 连接 ,从 而 攻破 少数 的 结 点 而 获取 较 大 份额 的 密 钥 ,从 而 影 
响 其 他 结 点 间 的 通信 。 

Chan 等 人 在 Eschenauer 和 Gligor 方 案 的 基础 上 ,又 提出 了 Q2 composite 随机 密 钥 预 
分 配方 案 ,该 方案 将 任意 两 个 相 邻 结 点 间 的 共享 密 钥 数 提高 到 9 值 。 通 过 提高 g 值 增强 了 
网 络 对 结 点 攻击 的 抵抗 性 ,缺点 是 密 钥 的 重 琶 度 增 加 ,限制 了 网 络 的 可 扩展 性 。 

此 外 ,还 有 基于 多 项 式 的 随机 密 钥 预 配置 方案 ,如 Polynomial Pool Based Key Scheme 
和 Location 2 Based Pair 2 Wise Establishments Scheme 密 钥 管理 方案 ,这 些 方案 能 有 效 地 
抵抗 部 分 结 点 被 俘获 后 对 网 络 安全 造成 的 影响 ,只 有 当 敌 手 获 取 了 同一 多 项 式 的 :项 才能 
计算 出 多 项 式 。 网 络 的 可 扩展 性 较 好 ,可 以 支持 大 规模 的 网 络 ; 但 需要 的 计算 开销 太 大 ,由 
于 结 点 的 计算 能 力 有 限 ,因此 需要 对 算法 作 进一步 的 优化 。 


2. 分 簇 的 密 钥 管理 方案 


在 分 徐 式 无 线 传感器 网 络 结构 中 ,根据 各 个 结 点 的 功能 和 能 量 不 同 , 可 以 将 结 点 分 成 三 
类 : 基站 、 簇 头 和 普通 的 传感器 结 点 ,其 体系 结构 如 图 4-14 所 示 。 


〇 ”传感器 结 点 


图 4-14 ”分 簇 式 无 线 传感器 网 络 体系 结构 


在 网 络 中 基站 的 能 量 和 存储 能 力 是 不 受 限制 的 , 它 主要 负责 收集 和 处 理 传感器 结 点 发 
送 来 的 数据 以 及 管理 整个 网 络 。 
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在 大 多 数 的 应 用 中 ,假定 基站 是 安全 的 、 可 以 信任 的 ,因此 把 基站 用 来 作 和 密 钥 服务 器 。 
相对 于 传感器 结 点 , 簇 头 拥 有 较 高 的 信息 处 理 和 存储 能 力 , 它 负责 将 结 点 分 欠 、 收 集 并 处 理 
来 自 结 点 的 信息 然后 将 信息 发 送 给 基站 。 在 部 署 网 络 时 ,传感器 结 点 被 随机 地 投掷 在 目标 
区 域 ,随后 结 点 搜寻 自己 无 线 范围 内 的 临近 簇 头 自 组 织 形成 网 络 。 针 对 分 簇 式 网 络 现 已 提 
出 了 低能 耗 密 钥 管理 和 轻 量 级 密 钥 管理 等 方案 。 

1) 基于 密 钥 颁发 中 心 (Key Distribution Center,KDC) 的 结 点 对 密 钥 管理 方案 

基于 密 钥 颁发 中 心 的 结 点 对 密 钥 管理 方案 的 基本 思想 ,是 每 个 传感器 结 点 与 KDC 共 
享 一 个 密 钥 , 在 这 里 基站 可 以 作为 KDC。KDC 保存 与 所 有 结 点 的 共享 密 钥 , 如 一 个 结 点 要 
与 男 一 个 结 点 通信 , 它 需 要 向 KDC 发 出 请 求 ,然后 KDC 产生 会 话 密 钥 , 并 将 其 传 给 相应 的 
结 点 。 这 种 方案 的 优点 是 计算 复杂 度 低 ,对 结 点 存储 和 计算 能 力 要 求 不 高 ,网 络 有 很 好 的 自 
恢复 能 力 ,部 分 结 点 被 俘获 不 会 影响 到 网 络 其 他 结 点 的 通信 ; 缺点 是 网 络 的 可 扩展 性 与 支 
持 的 网 络 规模 取决 于 基站 的 能 力 ,网 络 通信 过 分 依赖 基站 ,如 基站 被 俘 整 个 网 络 就 被 攻破 。 

2) 低能 耗 密 钥 管理 方案 

低能 耗 的 密 钥 管理 方案 是 由 Jolly 等 人 提出 来 的 , 它 是 基于 IBSK 协议 的 扩展 ,继承 了 
IBSK 支持 增加 、 删 除 结 点 以 及 密 钥 更 新 的 优点 ,同时 为 了 减少 能 量 的 消耗 ,取消 了 结 点 与 
结 点 之 间 的 通信 。 由 于 目前 一 些 技术 的 不 成 熟 , 所 以 该 协议 是 在 一 些 假设 的 基础 上 进行 的 。 
首先 假定 基站 有 入 侵 检测 机 制 , 可 以 检测 出 结 点 的 正常 与 否 ,并 由 此 决定 是 否 触发 删除 结 点 
的 操作 ; 对 传感器 结 点 不 作 任何 信任 的 假设 , 复 头 之 间 可 以 通过 广播 或 单 播 与 结 点 通信 。 
在 网 络 部 署 前 ,分 配给 每 个 传感器 结 点 两 个 密 钥 ,一 个 与 簇 头 共享 ,一 个 与 基站 共享 ,所 有 入 
头 共 享 一 个 密 钥 用 于 得 头 间 的 广播 通信 ,每 个 得 头 还 分 配 有 一 个 与 基站 共享 的 密 钥 和 随机 
指定 的 1S| / 1G| 个 传感器 结 点 的 密 钥 (| S| 为 传感器 结 点 的 个 数 ,1G | 为 簇 头 的 个 数 )。 在 
徐 形 成 阶段 , 结 点 广播 用 与 簇 头 共享 的 密 钥 加 密 后 的 自己 的 位 置 和 能 量 的 信息 ,得 头 收 到 该 
信息 后 与 其 他 徐 头 交换 属于 自己 通信 范围 内 结 点 的 密 钥 , 密 钥 交 换 完成 后 得 头 指 定 自己 通 
信 范 围 内 的 结 点 形成 簇 。 增 加 新 的 结 点 时 ,首先 基站 随机 选取 一 个 得 头 ,将 新 结 点 的 密 钥 发 
送 给 该 簇 头 ,然后 通过 得 形 成 阶段 ,新 结 点 就 加 入 了 该 答 。 该 方案 的 优点 是 对 结 点 的 存储 和 
计算 能 力 要 求 不 高 ,由 于 预存 了 所 有 密 钥 ,计算 复杂 度 也 较 低 ,网 络 的 自 恢复 能 力 强 ; 缺点 
是 网 络 的 可 扩展 性 不 高 ,通信 过 于 依赖 徐 头 ,多 个 相 邻 复 头 的 被 俘 可 能 导致 整个 网 络 的 瘫 
痪 。 当 删除 簇 头 时 ,方案 中 要 给 出 一 个 指定 的 新 簇 头 ,然后 将 旧 簇 内 的 结 点 分 配给 新 簇 头 。 
这 种 思想 在 实际 应 用 中 是 不 可 行 的 ,因为 不 能 保证 重新 部 署 的 新 的 簇 头 正好 位 于 旧 簇 头 的 
位 置 上 ,也 就 不 能 保证 新 的 簇 头 能 涵盖 旧 簇 头 内 所 有 的 结 点 。 

3) 轻 量 级 密 钥 管理 方案 

Eltoweissy、Younis 和 Ghumman 等 人 也 提出 了 轻 量 级 密 钥 管理 方案 ,这 个 方案 采用 了 
组 合 最 优 组 EBS(Exclusion Basis System) 密 钥 的 算法 ,用 于 密 钥 的 分 配 与 更 新 。 在 网 络 部 
署 前 每 个 传感器 结 点 预 配 置 唯一 的 ID 标识 符 和 两 个 密 钥 ,这 两 个 密 钥 一 个 与 簇 头 共享 , 另 
一 个 与 基站 共享 。 当 簇 头 被 俘获 后 ,通过 与 基站 共享 的 密 钥 , 结 点 可 以 重新 获得 新 的 簇 头 与 
密 钥 。 簇 头 预 配置 一 个 与 基站 共享 的 密 钥 和 唯一 的 ID 标识 符 , 且 假定 其 有 一 定 和 人 侵 检测 的 
能 力 ; 密 钥 只 能 由 基站 产生 且 也 假定 其 具有 入 侵 检 测 的 能 力 。 

在 网 络 的 初始 化 阶段 , 徐 头 广播 自己 的 信息 .基站 在 收 到 簇 头 的 信息 后 ,根据 簇 头 的 数 
目 构建 EBS 并 发 送信 息 给 簇 头 , 该 信息 包括 管理 密 钥 和 簇 头 间 的 会 话 密 钥 。 在 簇 的 形成 阶 
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段 , 结 点 发 送 自己 的 ID 和 位 置信 息 , 簇 头 接收 到 后 将 结 点 的 ID 和 位 置信 息 制 成 表 , 与 其 他 
徐 头 协商 形成 簇 , 簇 头 最 后 根据 艇 内 结 点 的 数目 决定 需要 的 密 钥 数 并 将 需要 的 密 钥 数 和 结 
点 的 标识 符 列表 发 送 给 基站 。 基 站 产生 需要 的 密 钥 并 据 此 为 每 个 簇 构 建 EBS, 并 将 信息 传 
给 簇 关 , 最 后 由 簇 头 指 定 结 点 的 归属 。 当 检测 到 簇 头 被 俘获 时 ,首先 将 簇 关 从 网 络 中 删除 ， 
然后 依靠 其 他 正常 的 簇 头 确认 那些 孤立 的 传感器 结 点 ,并 将 在 自己 通信 范围 内 的 结 点 加 入 
徐 内 。 

轻 量 级 密 钥 管理 方案 的 主要 优点 ,是 引入 了 组 播 的 概念 和 组 播 密 钥 管理 算法 。 利 用 
EBS 较 好 地 实现 了 密 钥 的 产生 、 分 配 及 密 钥 的 更 新 ,有 效 地 保护 了 当前 、 前 向 与 后 向 秘密 ; 
网 络 的 可 扩展 性 较 好 ,可 以 支持 大 规模 的 网 络 , 可 以 支持 网 络 的 动态 变化 ,单个 结 点 的 俘获 
对 网 络 的 安全 通信 影响 不 大 。 缺 点 是 当 结 点 频繁 地 被 俘获 时 ,频繁 的 密 钥 更 新 大 大 增加 了 
网 络 的 通信 负载。 但 是 该 方案 也 没有 很 好 地 解决 删除 得 头 后 簇 内 结 点 的 分 配 问 题 ,这 是 在 
分 簇 的 密 钥 管理 方案 中 普遍 存在 的 问题 ,也 需要 对 分 簇 算法 作 进一步 优化 。 


@.3 物 联网 终端 安全 


物 联网 终端 是 物 联网 中 连接 传感器 网 络 ,实现 采集 物理 世界 中 的 原始 数据 并 向 物 联 网 
发 送 数 据 的 终端 设备 。 它 担负 着 数据 采集 、 初 步 处 理 、 加 密 和 传输 等 多 种 功能 。 


4.3.1 物 联网 终端 概述 
1. 物 联网 终端 的 工作 原理 


物 联网 终端 由 外 围 感知 接口 (传感器 接口 )、 中 央 处 理 模 块 和 外 部 通信 接口 等 三 个 部 
分 组 成 ,通过 外 围 感知 接口 与 传 感 设备 连接 ,如 RFID 读 卡 器 、 红 外 感应 器 和 环境 传感器 
等 。 对 这 些 传 感 设备 的 数据 进行 采集 并 通过 中 央 处 理 模 块 处 理 后 ,按照 网 络 协 议 , 经 过 
外 部 通信 接口 ,如 GPRS 模块 .以 太 网 接口 和 Wi-Fi 等 方式 发 送 到 以 太 网 的 指定 中 心 处 理 
平台 。 

物 联网 终端 属于 传 感 网 络 层 与 传输 网 络 层 的 中 间 设 备 , 也 是 物 联网 的 关键 设备 。 通 过 
物 联网 终端 的 转换 和 采集 ,才能 将 各 种 外 部 感知 数据 加 以 汇集 和 处 理 , 并 将 数据 通过 各 种 网 
络 接口 方式 传输 到 互联 网 中 。 如 果 没 有 物 联 网 终端 , 传 感 数据 将 无 法 送 到 指定 位 置 ,“ 物 ” 联 
网 将 不 能 实现 。 


2. 物 联网 终端 的 分 类 


1) 按 传输 方式 分 类 

物 联 网 终端 按 传输 方式 来 分 类 ,可 以 分 为 以 太 网 终端 “Wi-Fi 终端 .2G 终端 3G 和 4G 
终端 等 ,有 些 智能 终端 同时 具备 多 种 终端 的 功能 。 

(1) 以 太 网 终端 。 

这 类 终端 一 般 应 用 在 数据 传输 量 比较 大 、 以 太 网 条 件 较 好 的 场合 ,终端 现场 很 容易 布线 
并 具有 连接 互联 网 的 条 件 。 以 太 网 终端 一 般 应 用 在 工厂 的 固定 设备 检测 、 智 能 大 厦 和 智能 
家 居 等 环境 中 。 


(2) Wi-Fi 终端 。 

这 类 终端 一 般 应 用 在 数据 传输 量 较 大 、 以 太 网 环境 比较 好 ,但 是 终端 部 分 布线 不 容易 或 
者 不 能 布线 的 场合 ,在 终端 周围 架设 Wi-Fi 路 由 或 Wi-Fi 网 关 等 设备 来 实现 。Wi-Fi 终端 一 
般 应 用 在 无 线 城市 和 智能 交通 等 需要 大 数据 无 线 传输 的 场合 ,或 其 他 应 用 终端 周围 不 适合 
布线 ,但 需要 大 量 数 据 传输 的 场合 。 

(3) 2G 终端 。 

这 类 终端 应 用 在 小 数据 量 传输 的 移动 场合 和 小 数据 量 传输 的 野外 工作 场合 ,例如 物流 
RFID 手持 终端 ,车载 GPS 定位 、 河 流水 位 监测 ,水 库 水 质 监 测 和 空气 质量 监测 等 。 这 类 终 
端 因 为 具有 移动 中 或 野外 条 件 下 的 联网 功能 ,所 以 为 物 联网 的 深层 次 应 用 提供 了 更 加 广阔 
的 市 场 。 

(4) 3G 和 4G 终端 。 

这 类 终端 是 在 2G 终端 基础 上 进行 升级 ,采用 3G 甚至 4G 通信 技术 ,可 以 大 大 提高 上 
行 、 下 行 的 通信 速率 ,以 满足 移动 图 像 监 控 和 传输 视频 等 应 用 场合 ,例如 巡警 图 像 回 传 .动态 
实时 交通 信息 的 监控 等 ,在 一 些 大 数据 量 的 传 感 应 用 中 ,如 地 震波 信号 的 采集 和 电力 信号 实 
时 监测 中 也 可 以 用 到 该 类 终端 。 

2) 按 行 业 应 用 分 类 

物 联网 终端 按 行业 应 用 来 分 类 ,可 以 分 为 工业 设备 检测 终端 ,农业 设施 检测 终端 ,物流 
RFID 识别 终端 .电力 系统 检测 终端 和 安防 视频 监控 终端 等 。 

(1) 工业 设备 检测 终端 。 

这 类 终端 主要 安装 在 工厂 的 大 型 设备 上 或 工矿 企业 的 大 型 运输 机 械 上 ,用 来 采集 位 移 
传感器 、 位 置 传感器 ,振动 传感器 、. 液 位 传感器 .压力 传感器 和 温度 传感器 等 数据 ,通过 终端 
的 有 线 网 络 或 无 线 网 络 接口 ,发送 到 中 心 处 理 平台 进行 数据 的 汇总 和 处 理 , 实 现 对 工厂 设备 
运行 状态 的 及 时 跟踪 和 大 型 机 械 的 状态 确认 ,达到 安全 生产 的 目的 。 抗 电磁 干扰 和 防暴 是 
这 类 终端 设计 的 重点 。 

(2) 农业 设施 检测 终端 。 

这 类 终端 一 般 被 安装 在 位 于 大 棚 或 温室 中 的 农业 设施 上 ,主要 用 于 采集 空气 温度 和 湿 
度 传感器 .土壤 温度 传感器 .土壤 水 分 传感器 .光照 传感器 和 气体 含量 传感器 的 数据 ,将 数据 
打包 .压缩 和 加 密 后 ,通过 终端 的 有 线 网 络 和 无 线 网 络 接口 发 送 到 中 心 处理 平 台 进 行 数据 的 
汇总 和 处 理 。 这 种 系统 可 以 及 时 发 现 农业 生产 中 不 利于 农作物 生长 的 环境 因素 ,并 在 第 一 
时 间 通 知 管理 者 纠正 这 些 因 素 , 从 而 提高 农作物 的 产量 ,减少 病虫害 发 生 的 概率 。 防 水 、 防 
晒 和 防腐 设计 是 这 类 终端 设计 的 重点 。 

(3) 物流 RFID 识别 终端 。 

这 类 终端 可 以 分 为 手持 式 、 固 定式 和 车 载 式 。 手持 式 RFID 识别 终端 由 使 用 者 手持 
使 用 ; 固定 式 RFID 识别 终端 一 般 安装 在 仓库 门口 或 其 他 货物 通道 ; 车 载 式 RFID 识别 
终端 安装 在 物流 运输 车 中 。 固 定式 一 般 只 有 识别 功能 ,用 于 跟踪 货物 的 出 库 和 入 库 ; 手 
持 式 和 车 载 式 一 般 具 有 GPS 定位 功能 和 基本 的 RFID 标签 扫描 功能 ,用 来 识别 货物 的 状 
态 、 位 置 和 人 性 能 等 参数 ,通过 有 线 或 无 线 网 络 将 位 置信 息 和 货物 的 基本 信息 传送 到 中 心 处 
理 平台 。 通 过 该 类 终端 的 货物 状态 识别 ,可 以 将 物流 管理 变 得 非常 方便 ,大 大 提高 了 物流 的 
效率 。 
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3) 按 使 用 场合 分 类 

按 使 用 场合 分 类 , 物 联网 终端 可 以 分 为 固定 终端 ,移动 终端 和 手持 终端 。 

(1) 固定 终端 。 

这 类 终端 应 用 在 固定 场合 ,一 般 固定 不 动 ,具有 可 靠 的 外 部 电源 供电 和 可 靠 的 有 线 数字 
链 路 ,用 于 监测 各 种 固定 设备 、 仪 器 或 环境 的 信息 ,工业 设备 和 农业 设施 用 的 监测 终端 均 属 
于 此 类 。 

(2) 移动 终端 。 

这 类 终端 应 用 在 终端 与 检测 设备 同时 移动 的 场合 。 由 于 该 类 终端 经 常 发 生 运动 ,因此 
没有 可 靠 的 外 部 电源 ,需要 通过 无 线 数据 链 路 进行 数据 的 传输 ,主要 用 于 检测 如 图 像 、 位 置 、 
运动 设备 的 某 种 物理 状态 。 车 载 视 频 监 控 设 备 、 车 载 仪器 和 货物 GPS 定位 等 均 使 用 这 类 终 
端 。 这 类 终端 一 般 要 求 具 备 良 好 的 抗震 和 抗 电磁 干扰 能 力 , 对 供电 电源 的 要 求 也 比较 高 

(3) 手持 终端 。 

这 类 终端 是 在 移动 终端 的 基础 上 进行 了 升级 和 改造 , 它 一 般 小 巧 轻便 ,使 用 者 可 以 随身 
携带 ,有 后 备 电 池 ,一 般 可 以 连续 使 用 8 小 时 以 上 。 具 有 可 以 连接 外 部 传 感 设 备 的 接口 , 采 
集 的 数据 一 般 可 以 通过 无 线 进 行 及 时 传输 ,也 可 以 在 积累 一 定 程度 后 通过 有 线 传输 。 这 类 
终端 大 部 分 应 用 在 物流 RFID 识别 .工厂 设备 参数 巡 检 和 农作物 病虫害 普查 等 领域 。 

4) 按 使 用 扩展 性 分 类 

物 联 网 终端 按 使 用 扩展 性 分 类 ,可 以 分 为 单一 功能 终端 和 通用 智能 终端 两 类 。 

(1) 单一 功能 终端 。 

这 类 终端 一 般 外 部 接口 较 少 ,设计 简单 , 仅 满足 单一 应 用 或 者 单一 应 用 的 部 分 扩展 。 除 
了 这 种 应 用 以 外 ,必须 修改 硬件 才能 应 用 在 其 他 场合 。 目 前 市 场 上 这 一 aa 
汽车 监控 用 的 图 像 传输 服务 终端 ,电力 监测 用 的 终端 和 物流 用 的 RFID 终端 等 。 这 些 终端 
功能 单一 , 仅 适用 于 特定 场合 ,不 能 随 应 用 变化 进行 功能 改造 和 扩充 。 由 于 功能 单一 ,这 一 
类 终端 的 成 本 比较 低 , 也 比较 容易 标准 化 。 

(2) 通用 智能 终端 。 

这 类 终端 因为 考虑 了 行业 应 用 的 通用 性 ,所 以 外 部 接口 比较 多 ,设计 复杂 ,能 满足 两 种 
或 者 两 种 以 上 场合 的 应 用 。 通 用 智能 终端 可 以 通过 内 部 软件 的 设置 、 修 改 应 用 参数 或 者 通 
过 硬件 模块 的 装卸 ,来 满足 不 同 的 应 用 需求 。 这 类 硬件 模块 一 般 涵 盖 了 大 部 分 应 用 对 接口 
的 需求 ,并 具有 网 络 连接 的 有 线 或 者 无 线 的 多 种 接口 方式 ,还 可 以 扩展 蓝牙 .WirFi 和 
ZigBee 等 接口 ,甚至 预 留 一 定 的 输出 接口 用 于 物 联 网 应 用 中 对 * 物 ”的 控制 。 这 类 终端 开发 
难度 比较 大 ,成 本 比较 高 ,仍然 没有 标准 化 ,目前 市 场 上 这 一 类 终端 很 少 。 

5) 按 传输 通路 分 类 

物 联 网 终端 按照 传输 通路 来 分 类 ,可 以 分 为 数据 透 传 终端 和 非 数 据 透 传 终端 。 

(1) 数据 透 传 终端 。 

数据 透 传 终端 在 输入 口 与 应 用 软件 之 间 建 立 起 数据 传输 通路 ,使 得 数据 可 以 通过 模块 
的 输入 口 输入 ,通过 软件 原封 不 动 的 输出 ,表现 给 用 户 的 方式 相当 于 一 个 透明 的 通道 ,因此 
称 为 数据 透 传 终端 。 目 前 这 一 类 终端 在 物 联 网 集成 项 目 中 得 到 了 大 量 应 用 。 其 优点 是 很 容 
易 构建 出 符合 应 用 需求 的 物 联 网 系统 ,缺点 是 功能 单一 。 在 多 路 数据 或 者 多 类 型 数据 传输 
时 ,需要 使 用 多 个 采集 模块 进行 数据 的 合并 处 理 后 , 才 可 以 通过 这 一 类 终端 传输 ; 否则 每 一 
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路 数据 都 需要 一 个 数据 透 传 终端 ,这 样 会 大 大 增加 成 本 和 系统 的 复杂 程度 。 目 前 市 场 上 的 
大 部 分 通用 终端 都 属于 数据 透 传 终端 。 

(2) 非 数 据 透 传 终端 。 

这 一 类 终端 一 般 将 外 部 多 个 接口 的 采集 数据 通过 终端 内 部 的 处 理 器 合并 后 传输 ,因此 
有 具有 多 路 同时 传输 的 优点 ,同时 减少 了 终端 的 数量 。 其 缺点 是 只 能 根据 终端 的 外 围 接 口 选 
择 应 用 ,如 果 满 足 所 有 应 用 ,该 终端 的 外 围 接 口 种 类 就 需要 很 多 。 在 不 太 复杂 的 应 用 中 会 造 
成 很 多 接口 资源 的 浪费 ,因此 接口 的 可 插 拔 设计 是 此 类 终端 的 共同 特点 ,前 文 提 及 的 通用 智 
能 终端 就 属于 此 类 终端 。 数 据 传输 应 用 协议 在 终端 内 已 经 集成 ,作为 多 功能 应 用 ,通常 需要 
提供 二 次 开发 接口 。 目 前 市 场 上 这 一 类 终端 较 少 。 

6) 按 应 用 对 象 分 类 

物 联网 终端 按照 应 用 对 象 分 类 ,可 以 分 为 感知 识别 型 终端 和 应 用 型 终端 。 

(1) 感知 识别 型 终端 。 

感知 识别 型 终端 主要 针对 外 部 世界 环境 参数 的 采集 ,以 二 维 码 .REFID 传感器 为 主 , 实 
现 对 * 物 ”的 识别 或 者 环境 状态 的 感知 。 

(2) 应 用 型 终端 。 

应 用 型 终端 主要 针对 人 的 应 用 ,提供 键盘 鼠标、 触摸 屏 和 显示 器 等 各 种 输入 输出 接口 ， 
例如 计算 机 ,平板 电脑 和 智能 手机 等 都 属于 此 类 终端 。 

特别 值得 注意 的 是 , 近 几 年 来 快速 普及 的 智能 手机 可 以 说 是 一 种 随身 携带 的 超级 感知 
和 识别 设备 。 智 能 手机 上 可 以 配备 的 传感器 种 类 繁多 ,例如 加 速度 传感器 .陀螺 仪 传感器 、 
温度 传感器 方向 传感器 .压力 传感器 .距离 传感器 .光线 亮度 传感器 等 。 智 能 手机 还 具备 
GPS 定位 功能 ,可 以 提供 基于 位 置 的 服务 。 智 能 手机 上 摄像 头 的 拍照 功能 也 是 感知 声音 、 
图 像 .影像 能 力 的 体现 。 如 果 把 RFID 标签 附着 在 手机 内 部 ,手机 就 具有 了 标示 手机 主人 的 
功能 。 在 智能 手机 和 触摸屏 安装 RFID 读 写 器 ,手机 便 具 有 标签 读 取 功 能 ,可 以 通过 读 取 
RFID 标签 来 识别 物体 。 


4.3.2 艇 入 式 系统 安全 
1. 嵌入 式 系统 的 安全 架构 


物 联网 的 感知 识别 型 终端 系统 通常 是 嵌入 式 系统 。 骨 入 式 系统 是 以 应 用 为 中 心 ,以 计 
算 机 技术 为 基础 ,并 且 软 硬件 是 可 订 制 的 ,适用 于 对 功能 、 可 靠 性 、 成 本 、 体 积 和 功 耗 等 有 严 
格 要 求 的 专用 计算 机 系统 。 嵌 入 式 系统 的 发 展 过 程 ,经 历 了 无 操作 系统 、 简 单 操作 系统 、 实 
时 操作 系统 和 面向 互联 网 的 操作 系统 等 四 个 阶段 。 

结合 嵌入 式 信息 系统 的 结构 ,以 下 分 别 从 硬件 平台 、 操 作 系 统 和 应 用 系统 等 三 个 方面 对 
嵌入 式 系 统 的 安全 性 进行 分 析 。 

1) 硬件 平台 的 安全 性 

为 适应 不 同 应 用 功能 的 需要 , 艇 入 式 系统 采用 多 种 多 样 的 系统 结构 ,攻击 者 可 能 采用 的 
攻击 手段 也 呈现 多 样 化 的 趋势 。 区 别 于 个 人 电脑 系统 ,嵌入 式 信息 系统 可 能 遭 到 的 攻击 存 
在 于 系统 体系 结构 的 各 个 部 分 。 

(1) 对 可 能 发 射 的 各 类 电磁 信号 的 做 入 式 系统 ,利用 其 传输 和 辐射 的 电磁 波 ,攻击 者 可 
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能 使 用 灵敏 的 测试 设备 进行 探测 、 窃 听 、 甚 至 拆 印 ,以便 提取 数据 ,导致 电磁 油 露 攻击 或 者 侧 
信道 攻击 。 而 对 于 嵌入 式 存储 元 件 和 移动 存储 卡 ,存储 部 件 内 的 数据 也 容易 被 窃取 。 

(2) 针对 各 类 嵌入 式 系统 传感器 .探测 器 等 低 功 耗 敏感 设备 ,攻击 者 可 能 引入 极端 温 
度 .电压 偏 移 和 时 钟 变化 ,从 而 强迫 系统 在 设计 参数 范围 之 外 工作 ,表现 出 异常 性 能 。 特 殊 
情况 下 强 电磁 干扰 和 电磁 攻击 , 则 可 能 将 毫 无 物理 保护 的 小 型 蔡 入 式 系统 彻底 挫 毁 。 

2) 操作 系统 的 安全 性 

与 个 人 电脑 不 同 的 是 ,嵌入 式 产品 采用 数 十 种 体系 结构 和 操作 系统 ,常用 的 蔡 入 式 操作 
系统 包括 Windows CE、VxWorks、pSOS、QNX、PalmOS、OS-9、LynxOS、Linux 等 ,这 些 系 
统 的 安全 等 级 各 不 相同 ,但 是 各 类 嵌入 式 操 作 系统 都 普遍 存在 因为 硬件 平台 计算 能 力 和 存 
储 空 间 有 限 ,所 以 精简 代码 而 牺牲 系统 安全 性 的 情况 。 工 入 式 操 作 系统 普遍 存在 的 安全 隐 
患 如 下 : 

(1) 由 于 系统 代码 的 精简 ,对 系统 的 进程 控制 能 力 并 没有 达到 一 定 的 安全 级 别 。 

(2) 由 于 嵌入 式 处 理 器 的 计算 能 力 有 限 , 缺 少 系统 的 身份 认证 机 制 ,攻击 者 可 能 轻易 破 
解 供 入 式 操作 系统 的 登录 口令 。 

(3) 大 多 数 租 入 式 系统 的 系统 文件 和 用 户 文件 缺乏 必要 的 完整 性 保护 机 制 。 

(4) 嵌入 式 操作 系统 缺乏 数据 的 备份 和 可 信 恢 复 机 制 ,系统 一 旦 发 生 故 障 便 无 法 恢复 。 

(5) 各 种 嵌入 式 信息 终端 病毒 正在 不 断 出 现 , 并 大 多 通过 无 线 网 络 注入 终端 。 

3) 应 用 软件 的 安全 性 

应 用 软件 的 安全 问题 普遍 存在 ,其 中 包括 应 用 层 安 全 问题 (如 病毒 .恶意 代码 攻击 等 )、 
中 间 件 安全 问题 和 系统 层 安全 问题 (如 数据 窃听 、 源 地 址 欺骗 . 源 路 由 选择 欺骗 ,鉴别 攻击 、 
TCP 序列 号 欺骗 .拒绝 服务 攻击 等 ) 。 


2. 凡 入 式 系统 的 安全 机 制 


嵌入 式 系统 的 安全 机 制 可 以 根据 柑 入 式 系 统 不 同 层次 的 安全 需求 来 制定 ,嵌入 式 系 统 
的 分 层 安全 对 策 如 图 4-15 所 示 , 以 下 分 别 从 下 层 至 上 层 进行 简要 分 析 。 


安全 应 用 层 ( 应 用 程序 、 网 络 安 全 协议 等 ) 
软件 安全 架构 层 (操作 系统 、 虚 拟 机 等 ) 
硬件 安全 架构 层 (CPU、 内 存 、 加 密 芯片 等 ) 
安全 电路 层 (电路 元 件 、 封 装 等 ) 


图 4-15 搬入 式 系统 的 分 层 安 全 对 策 


1) 安全 电路 层 

通过 对 传统 的 电路 加 入 安全 措施 和 改进 设计 ,实现 对 涉及 敏感 信息 的 电子 器 件 的 保护 。 
可 以 在 安全 电路 层 采 用 的 措施 包括 : 通过 降低 电磁 辐射 ,加 入 随机 信息 等 来 降低 非 人 侵 攻 
击 所 能 测量 到 的 敏感 数据 特征 ; 加 入 开关 、 电 路 等 对 攻击 进行 检测 ,例如 用 开关 检测 电路 的 
物理 封装 是 否 被 打开 。 在 关键 应 用 如 工业 控制 中 还 可 以 使 用 容错 硬件 设计 和 可 靠 性 电路 
设计 。 

2) 硬件 安全 架构 层 

这 种 方法 借鉴 了 可 信 平 台 模块 (Trusted Platform Module,TPM) 的 思路 ,采取 的 措施 
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包括 : 加 入 部 分 硬件 处 理 机 制 以 支持 加 密 算 法 甚至 安全 协议 ; 使 用 分 离 的 安全 协议 处 理 器 
模块 以 处 理 所 有 敏感 信息 ; 使 用 分 离 的 存储 子 系统 作为 安全 存储 空间 ,这 种 隔离 可 以 限制 
存 取 权 限 , 只 有 可 靠 的 系统 部 件 才 可 以 对 安全 存储 区 间 进 行 存 取 ; 如 果 上 述 功能 不 能 实现 ， 
可 以 利用 存储 保护 机 制 , 即 通过 总 线 监 控 硬 件 来 区 分 对 安全 存储 区 域 的 存 取 是 否 合法 来 实 
现 , 对 经 过 总 线 的 数据 在 进入 总 线 前 进行 加 密 以 防止 总 线 窃 听 。 典 型 的 例子 包括 ARM 公 
司 的 Trustzone 和 Intel 公司 的 LaGrande 等 。 

3) 软件 安全 架构 层 

软件 安全 架构 层 主要 通过 增强 操作 系统 和 虚拟 机 的 安全 性 来 增强 系统 安全 的 ,例如 微 
软 公司 的 下 一 代 安 全 计算 基础 (Next-Generation Secure Computer Base,NGSCB) ,通过 与 
相应 硬件 的 协同 工作 提供 如 下 增强 机 制 : 进程 分 离 ( 用 来 隔离 应 用 程序 , 免 受 外 来 攻击 ); 
封闭 存储 (让 应 用 程序 安全 地 存储 信息 ); 安全 路 径 ( 提 供 从 用 户 输入 到 设备 输出 的 安全 通 
道 ); 认证 证 书 (用 来 认证 软 硬 件 的 可 信 性 )。 其 他 方法 还 有 通过 加 强 Java 虚拟 机 的 安全 
性 ,对 非 可 靠 的 代码 使 其 在 受 限制 和 监控 的 环境 中 运行 。 另 外 ,该 层 还 对 应 用 层 的 安全 处 理 
提供 必要 的 支持 。 例 如 ,在 操作 系统 之 内 或 之 上 充分 利用 硬件 安全 架构 的 硬件 处 理 能 力 优 
化 和 实现 加 密 算法 ,并 向 上 层 提供 统一 的 应 用 编程 接口 等 。 

4) 安全 应 用 层 

通过 利用 下 层 提供 的 安全 机 制 , 实 现 涉及 敏感 信息 的 安全 应 用 程序 ,保障 用 户 数据 安 
全 。 这 种 应 用 程序 可 以 是 包含 诸如 提供 SSL 安全 通信 协议 的 复杂 应 用 ,也 可 以 是 仅仅 简单 
查看 敏感 信息 的 小 程序 ,但 必须 符合 软件 安全 架构 层 的 结构 和 设计 要 求 。 


.4 本 章 小 结 


射频 识别 (Radio Frequency Identification, RFID) 是 一 种 非 接触 式 自动 识别 技术 。 它 通 
过 无 线 射频 方式 自动 识别 特定 目标 的 标签 ,并 读 写 标 签 中 的 相关 信息 。 

一 套 完整 的 RFID 系统 ,通常 由 物理 世界 (Physical World)、 电 子 标签 (Tag)、 天 线 
(Antenna) , 读 写 器 (Reader and Writer)、 中 间 件 (Middleware) 和 应 用 软件 (Application 
Software) 等 部 分 组 成 。 

RFID 标签 俗称 电子 标签 ,也 称 为 应 答 器 (Tag、Transponder 或 Responder) ,根据 工作 
方式 可 分 为 主动 式 ( 有 源 ) 标 签 和 被 动 式 (无 源 ) 标 签 两 大 类 。 

被 动 式 RFID 标签 由 标签 芯片 和 标签 天 线 或 线圈 组 成 ,利用 电感 耦合 或 电磁 反 向 散射 
耦合 原理 实现 与 读 写 器 之 间 的 通信 。 

天 线 (Antenna) 是 RFID 标签 和 读 写 器 之 间 实 现 射频 信号 空间 传播 和 建立 无 线 通信 连 
接 的 设备 。 

读 写 器 (Reader) 也 称 为 读 写 器 或 询问 器 (Interrogator) ,是 对 RFID 标签 进行 读 / 写 操 
作 的 设备 ,主要 包括 射频 模块 和 数字 信号 处 理 单元 两 部 分 。 

中 间 件 (Middleware) 是 一 种 面向 消息 的 、 可 以 接受 应 用 软件 端 发 出 的 请 求 、 对 指定 的 
一 个 或 者 多 个 读 写 器 发 起 操作 并 接收 、 人 处理 后 向 应 用 软件 返回 结果 数据 的 特殊 软件 。 

应 用 系统 (Application System) 使 用 位 于 后 台 的 数据 库 管理 系统 来 实现 其 管理 功能 ,是 
直接 面向 RFID 应 用 最 终 用 户 的 人 机 交互 界面 ,协助 使 用 者 完成 对 读 写 器 的 指令 操作 以 及 
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对 中 间 件 的 逻辑 设置 , 逐 级 将 RFID 原子 事件 转化 为 使 用 者 可 以 理解 的 业务 事件 ,并 使 用 可 
视 化 界面 进行 展示 。 

一 套 完整 的 RFID 系统 的 工作 原理 是 读 写 器 (Reader) 发 射 一 特定 频率 的 无 线 电波 能 量 
给 Transponder, 用 以 驱动 Transponder 电路 将 内 部 的 数据 送出 ,此 时 Reader 便 依 序 接收 解 
读数 据 , 送 给 应 用 系统 作 相 应 的 处 理 。 

当 电子 标签 进入 磁场 后 , 读 写 器 发 出 射频 信号 ,电子 标签 凭借 天 线 感 应 电流 所 获得 的 能 
量 ,发 送出 存储 在 芯片 中 的 产品 信息 (Passive Tag ,无 源 标签 或 被 动 标签 ) ,或 者 由 电子 标签 
主动 发 送 某 一 频率 的 信号 (Active Tag, 有 源 标签 或 主动 标签 ) , 读 写 器 读 取信 息 并 解码 后 ， 
送 至 中 间 件 进行 有 关 数 据 处 理 。 

一 套 比较 完美 的 RFID 系统 安全 解决 方案 ,应 当 具 备 机 密 性 、 完 整 性 .可 用 性 真实 性 和 
隐私 性 的 基本 特征 。 

RFID 系统 一 般 由 电子 标签 ,天 线 . 读 写 器 .中 间 件 .应 用 系统 等 部 分 组 成 。 对 于 攻击 者 
来 说 ,这 几 个 部 分 都 可 能 成 为 攻击 的 目标 。 

针对 标签 和 读 写 器 的 攻击 手段 包括 窃听 \ 略 读 、 区 隆重 放 、 追 踪 、 扰 乱 系统 等 ; 针对 应 
用 系统 和 后 台数 据 库 的 攻击 则 包括 标签 伪造 与 复制 .ONS 攻击 .病毒 攻击 等 。 

实现 RFID 系统 安全 性 所 采用 的 安全 机 制 分 为 三 大 类 : 物理 安全 机 制 、 密 码 安全 机 制 
以 及 两 者 相 结合 的 机 制 。 

物理 安全 机 制 通常 用 于 低 成 本 标签 中 ,因为 这 些 标签 难以 采用 复杂 的 密码 机 制 来 实现 
与 读 写 器 之 间 的 安全 通信 。 物 理 机 制 主要 包括 五 大 类 : Kill 命令 机 制 、 休 眠 机 制 . 阻 塞 机 
制 .静电 屏 项 和 主动 干扰 等 。 

密码 安全 机 制 是 指 利用 各 种 成 熟 的 加 密 算法 和 安全 机 制 , 来 设计 和 实现 符合 RFID 系 
统 的 安全 需求 。RFID 系统 的 信息 系统 安全 是 物 联网 研究 的 热点 之 一 ,近年 来 ,研究 者 们 提 
出 了 很 多 低 成 本 的 安全 认证 协议 ,例如 hash-lock( 哈 希 锁 ) 协 议 、 随 机 化 hash-lock( 随 机 化 
哈 希 锁 ) 协 议 、hash-chain( 喻 希 链 ) 协 议 、.Hash 函数 构造 算法 、 基 于 矩阵 密 钥 的 认证 协议 、 数 
字 图 书馆 协议 等 。 

无 线 传感器 网 络 (Wireless Sensor Networks, WSN) 是 由 部 署 在 监测 区 域内 大 量 的 廉 
价 微型 传感器 结 点 组 成 ,并 通过 无 线 通信 方式 形成 的 一 个 多 跳 的 、 自 组 织 的 网 络 系统 ,其 目 
的 是 协作 地 感知 ,采集 和 处 理 网 络 覆 盖 区 域 中 被 感知 对 象 的 信息 ,并 发 送 给 观察 者 。 

无 线 传感器 网 络 的 发 展 历程 共 经 历 了 三 个 阶段 : 传感器 一 无 线 传感器 一 无 线 传感器 网 
络 (大 量 微型 、 低 成 本 、 低 功 耗 的 传感器 结 点 组 成 的 多 跳 无 线 网 络 ) 。 

在 各 种 无 线 传感器 网 络 中 ,传感器 数据 采集 及 传输 常用 的 方式 主要 有 周期 性 采样 事件 
驱动 和 存储 与 转发 。 实 现 其 技术 的 网 络 结构 也 有 3 种 : 星 型 网 、 网 型 网 和 混合 网 ( 星 型 网 十 
网 型 网 )。 每 种 网 络 都 有 各 自 的 优点 及 缺点 .用 户 应 当 充 分 了 解 这 些 网 络 的 特点 以 满足 不 同 
应 用 的 实际 需要 。 

无 线 传感器 网 络 的 特点 包括 : 大 规模 、 自 组 织 、 动 态 性 、 可 靠 性 、 以 数据 为 中 心 、 集 成 化 、 
具有 密集 的 结 点 布置 .以 协作 方式 执行 任务 、 结 点 唤醒 方式 。 

由 于 无 线 传感器 的 资源 有 限 , 网 络 往往 运行 在 十 分 恶劣 的 环境 中 ,因此 很 容易 受到 恶意 
攻击 。 无 线 传感器 网 络 面临 的 安全 威胁 与 传统 移动 网 络 相 似 。 无 线 传感器 网 络 的 安全 威胁 
主要 包括 : 干扰 、 截 取 、 算 改 \ 假 冒 。 
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网 络 系统 安全 需求 的 目标 是 要 保证 网 络 中 传输 信息 的 安全 性 。 无 线 传感器 网 络 中 的 信 
息 安 全 需求 主要 包括 : 机 密 性 、 完 整 性、 真实 性 、 可 用 性 、 新 鲜 性 、 鲁 棒 性 ,访问 控制 。 

为 了 实现 无 线 传感器 网 络 的 安全 需求 ,必须 同时 采取 多 种 不 同 的 安全 技术 。 设 计 并 实 
现 通信 安全 一 体 化 的 无 线 传感器 网 络 协议 栈 , 是 实现 安全 无 线 传感器 网 络 的 关键 。 安 全 一 
体 化 的 网 络 协议 栈 能 够 从 整体 上 应 对 无 线 传感器 网 络 面临 的 各 种 安全 威胁 ,达到 满意 的 效 
果 。 安 全 一 体 化 的 网 络 协议 栈 通 过 整体 设计 、 优 化 设计 将 传感器 网 络 的 各 类 安全 问题 统一 
解决 ,包括 认证 、 密 钥 管 理 、 安 全 路 由 等 。 

为 了 保证 结 点 的 物理 层 安 全 ,必须 解决 结 点 的 身份 认证 和 通信 问题 。 应 研究 使 用 合适 
的 天 线 来 解决 结 点 间 的 通信 ,保证 各 个 结 点 间 及 基站 与 结 点 间 可 以 有 效 地 互相 通信 。 研 究 
多 信道 问题 ,防范 针对 传感器 结 点 的 物理 攻击 。 

为 加 强 物理 层 的 保护 ,可 以 在 传感器 结 点 加 入 配置 防 算 改 模块 (Tamper Proof Module， 
TPM) ,该 模块 允许 安全 地 存储 证 书 , 当 传感器 结 点 受到 威胁 时 阻止 攻击 者 检索 证 书 , 一 旦 
发 现 针对 传感器 的 算 改 行为 ,配置 防 自 改 模块 就 会 实施 自 销毁 ,破坏 存储 在 模块 中 的 所 有 数 
据 和 密 钥 。 在 拥有 足够 宛 余 信息 的 传感器 网 络 中 ,这 是 一 种 切实 可 行 的 解决 方案 。 

针对 外 部 存储 器 的 读 取 攻 击 ,一 种 可 行 的 应 对 措施 是 对 外 部 存储 器 进行 定期 检查 ,对 断 
开 微 控制 器 和 外 部 存储 器 的 时 间 设 置 严格 的 约束 。 

媒体 访问 控制 协议 (Media Access Control, MAC) 处 于 传感器 网 络 的 底层 ,对 传感器 网 
络 的 性 能 有 较 大 的 影响 ,是 保证 无 线 传感器 网 络 高 效 通信 的 关键 网 络 协议 之 一 。 无 线 传 感 
器 网 络 的 MAC 协议 是 由 传统 的 CSMA 协议 改进 而 来 ,典型 的 协议 有 SMAC、SMACS/ 
EAR、T-MAC、DMAC 等 。 

SPINS 安全 体系 是 目前 研究 者 提出 的 传感器 网 络 安全 体制 中 比较 流行 、 实 用 的 无 线 传 
感 器 网 络 安全 方案 。 它 在 数据 机 密 性 、 完 整 性 ,新鲜 性 、 可 认证 等 方面 都 做 了 充分 的 考虑 。 

SPINS 安全 协议 包含 SNEP (Security Network Encryption Protocol) 和 pTESLA 
(micro Timed Efficient Streaming Loss-tolerant Authentication) 两 个 部 分 。SNEP 用 以 实 
现 通 信 的 机 密 性 、 完 整 性 新鲜 性 和 点 到 点 的 认证 ; xTESLA 用 以 实现 在 资源 受 限 情况 下 的 
点 到 多 点 的 广播 认证 。 

无 线 传感器 网 络 路 由 协议 的 设计 是 一 个 技术 难题 ,网 络 中 所 有 结 点 都 应 可 达 ( 连 通 性 )， 
网 络 结 点 还 要 求 尽量 大 地 覆盖 目标 区 域 , 要 容许 网 络 中 部 分 结 点 由 于 能 量 或 别 的 原因 无 法 
正常 工作 。 路 由 算法 也 要 能 适应 不 同 的 网 络 规模 和 结 点 密度 ,并 要 具有 一 定 的 服务 质量 要 
求 。 除 了 低 存储 器 容量 、 低 功 耗 ,安全 也 是 不 可 忽略 的 重要 因素 。 

目前 ,适用 于 无 线 传感器 网 络 中 的 路 由 协议 有 许多 ,大致 可 以 分 为 三 类 : 以 数据 为 中 心 
的 路 由 协议 ,层次 式 路 由 协议 和 基于 位 置 的 路 由 协议 。 

典型 的 单 层 无 线 传感器 网 络 路 由 协议 包括 SPIN 协议 .Directed Diffusion 协议 和 谣言 
协议 等 。 

典型 的 多 层 路 由 协议 包括 LEACH 协议 .PEGASIS 协议 .TEEN 协议 和 SEC-Tree 协 
议 等 。 

典型 的 基于 地 理 位 置 的 路 由 协议 包括 GPSR 协议 .GEAR 协议 和 TBF 协议 等 。 

在 所 有 的 无 线 传感器 网 络 安全 解决 方案 中 ,加 密 技 术 是 一 切 安全 技术 的 基础 ,通过 加 密 
可 以 满足 感知 信息 认证 、 机 密 性 、 不 可 否认 性 、 完 整 性 等 安全 需求 。 对 于 加 密 来 说 , 密 钥 管 理 
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是 其 中 最 关键 的 问题 。 

由 于 无 线 传感器 网 络 面临 特殊 的 安全 威胁 ,因此 传统 的 密 钥 管理 方案 已 经 不 再 适合 于 
无 线 传 感 器 网 络 。 针 对 其 特殊 性 , 现 已 提出 许多 相应 的 密 钥 管理 方案 ,主要 有 分 布 式 密 钥 管 
理 方案 (如 预 置 所 有 对 密 钥 方案 .随机 密 钥 预 分 配方 案 等 ) 和 分 能 式 密 钥 管理 方案 (如 低能 耗 
密 钥 管理 方案 . 轻 量 级 密 钥 管理 方案 等 ) 。 

物 联网 终端 是 物 联网 中 连接 传感器 网 络 ,实现 采集 数据 及 向 网 络 发 送 数据 的 设备 。 它 
担负 着 数据 采集 、 初 步 处 理 、 加 密 和 传输 等 多 种 功能 。 

感知 识别 型 终端 主要 针对 外 部 世界 环境 参数 的 采集 ,以 二 维 码 ,RFID 传感器 为 主 , 实 
现 对 “ 物 ” 的 识别 或 者 环境 状态 的 感知 。 

应 用 型 终端 主要 针对 人 的 应 用 ,提供 键盘 、 鼠 标 、 触 摸 屏 和 显示 器 等 各 种 输入 输出 接口 ， 
例如 计算 机 平板 电脑 和 智能 手机 等 都 属于 此 类 终端 。 

物 联 网 的 感知 识别 型 终端 系统 通常 是 舱 入 式 系统 。 肉 入 式 系统 的 安全 对 策 可 以 分 为 安 
全 电路 层 、 硬 件 安全 架构 层 、 软 件 安全 架构 层 和 安全 应 用 层 等 。 


俐 习 思考 是 


.RFID 系统 通常 由 哪儿 个 部 分 组 成 ? 各 部 分 的 主要 功能 是 什么 ? 
.RFID 系统 的 工作 原理 是 什么 ? 

. 一 套 比 较 完美 的 RFID 系统 安全 解决 方案 ,应 当 具 备 哪些 基本 特征 ? 
.RFID 系统 各 部 分 的 安全 需求 是 什么 ? 

. 针对 标签 和 读 写 器 的 攻击 主要 包括 哪些 手段 ? 

. 针对 应 用 系统 和 后 台数 据 库 的 攻击 主要 包括 哪些 手段 ? 

.RFID 系统 的 物理 安全 机 制 通常 用 于 什么 场合 ? 

.RFID 系统 的 物理 安全 机 制 主要 包括 哪些 类 别 ? 

. 什么 是 RFID 系统 的 密码 安全 机 制 ? 

.RFID 系统 安全 的 密码 机 制 包 括 哪 些 典型 的 安全 认证 协议 ? 

.请 画图 并 用 文字 说 明 hash-lock( 哈 希 锁 ) 协 议 。 

12. 请 画图 并 用 文字 说 明 随 机 化 hash-lock( 随 机 化 哈 希 锁 ) 协 议 。 

13. 请 画图 并 用 文字 说 明 hash-chain( 哈 希 链 ) 协 议 。 

14. 请 画图 并 用 文字 说 明 Hash 函数 构造 算法 。 

15. 请 画图 并 用 文字 说 明基 于 矩阵 密 钥 的 认证 协议 。 

16. 请 画图 并 用 文字 说 明 数 字 图 书馆 协议 。 

17. 什么 是 无 线 传感器 网 络 ? 无 线 传感器 网 络 由 哪些 部 分 组 成 ? 各 部 分 的 主要 功能 是 


Oo 和 NRW 


I 
一 oO 


18. 无 线 传感器 网 络 的 发 展 经 历 了 哪儿 个 阶段 ? 

19. 无 线 传感器 网 络 有 哪些 网 络 结构 ? 

20. 无 线 传感器 网 络 有 哪些 特点 ? 

21. 无 线 传感器 网 络 的 安全 威胁 主要 包括 哪些 手段 ? 

22. 无 线 传感器 网 络 中 的 信息 安全 需求 主要 包括 哪些 方面 ? 


23. 
24. 
25. 
26. 
2 
28. 
29. 
30. 
31. 
32. 
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请 简要 说 明 S-MAC 协议 的 工作 原理 。 

请 简要 说 明 SNEP 协议 的 工作 原理 。 

请 简要 说 明 pwTESLA 协议 的 工作 原理 。 

以 数据 为 中 心 的 路 由 协议 包括 哪些 典型 的 协议 ? 请 简要 说 明 每 个 典型 的 协议 。 
层次 式 路 由 协议 包括 哪些 典型 的 协议 ?请 简要 说 明 每 个 典型 的 协议 。 

基于 位 置 的 路 由 协议 包括 哪些 典型 的 协议 ? 请 简要 说 明 每 个 典型 的 协议 。 
无 线 传感器 网 络 包括 哪些 典型 的 分 布 式 密 钥 管 理 方案 ? 

无 线 传感器 网 络 包括 哪些 典型 的 分 复式 密 钥 管 理 方案 ? 

请 说 明 物 联网 终端 的 6 种 不 同 分 类 的 结果 。 

请 说 明 典 入 式 系统 的 安全 对 策 。 
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5.1.1 核心 网 安全 概述 


国际 互联 网 或 下 一 代 网 络 (IPv6) 是 物 联网 网 络 层 的 核心 载体 。 在 物 联 网 中 ,原来 在 国 
际 互 联网 遇 到 的 各 种 攻击 问题 依然 存在 ,甚至 更 普遍 ,因此 物 联网 需要 有 更 完善 的 安全 防护 
机 制 。 不 同 的 物 联 网 终端 设备 的 处 理 能 力 和 网 络 能 力 差 异 较 大 ,抵御 网 络 攻击 的 防护 能 力 
也 存在 很 大 的 差别 ,传统 的 国际 互联 网 安全 方案 难以 满足 需求 ,并 且 也 很 难 通过 通用 的 安全 
方案 解决 所 有 安全 问题 ,必须 针对 物 联网 的 具体 需求 制定 不 同 的 安全 方案 。 

核心 网 面临 着 原来 的 TCP/IP 网 络 的 所 有 安全 问题 ,然而 物 联 网 又 有 其 本 身 独 有 的 特 
点 。 核 心 网 安全 问题 的 主要 特点 是 海量 , 即 存在 海量 的 结 点 和 海量 的 数据 ,因此 对 核心 网 的 
安全 提出 了 更 高 的 要 求 。 核 心 网 所 面临 的 常见 的 安全 问题 主要 包括 以 下 几 个 方面 : 


1. DDoS 攻击 


由 于 核心 网 需要 接收 海量 的 、 采 用 集群 方式 连接 的 物 联 网 终端 结 点 的 信息 ,很 容易 导致 
网 络 拥塞 ,因此 核心 网 极 易 受 到 分 布 式 拒绝 服务 攻击 (Distributed Denial of Service， 
DDoS) ,这 也 是 物 联 网 网 络 层 遇 到 的 最 常见 的 攻击 方式 。 因 此 ,核心 网 必须 解决 的 安全 问题 
之 一 是 如 何 对 物 联 网 脆弱 结 点 受到 的 DDoS 攻击 进行 防护 。 


2. 异 构 网 络 跨 网 认证 


由 于 在 物 联 网 网 络 层 存在 不 同 架 构 的 网 络 需要 互相 连通 的 问题 ,因此 核心 网 也 面临 异 
构 网 络 跨 网 认证 等 安全 问题 。 在 异 构 网 络 传输 中 ,需要 解决 密 钥 和 认证 机 制 的 一 致 性 和 兼 
容 性 等 问题 ,而 且 还 需要 具有 抵御 DoS 攻击 ,中间人 攻击 .异步 攻击 、 合 谋 攻 击 等 恶意 攻击 
的 能 力 。 


3. 虚拟 结 点 ,虚拟 路 由 信息 攻击 


由 于 物 联网 中 的 某 些 结 点 可 以 自由 漫游 ,与 邻近 结 点 通信 的 关系 在 不 断 改变 , 结 点 的 加 
入 和 脱离 也 许 比较 频繁 ,这 样 就 很 难为 结 点 建立 信任 关系 ,从 而 导致 物 联网 无 基础 结构 , 且 
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拓扑 结构 不 断 改 变 。 因 此 入 侵 者 可 以 通过 虚拟 结 点 ,插入 虚拟 路 由 信息 等 方式 对 物 联网 发 
起 攻击 。 

目前 的 物 联网 核心 网 主要 是 运营 商 的 核心 网 络 , 核 心 网 安全 防护 系统 可 以 为 物 联网 终 
端 设备 提供 本 地 和 网 络 应 用 的 身份 认证 、 网 络 过 滤 、 访 问 控制 ,授权 管理 等 安全 服务 。 核 心 
网 的 安全 防护 技术 主要 涉及 网 络 加 密 技 术 、 防 火 墙 技术 、 隧 道 技术 、 网 络 虚 拟 化 技术 .黑客 攻 
击 与 防范 、 计 算 机 病毒 防护 、 入 侵 检测 技术 、 网 络 安全 扫描 技术 等 。 


5.1.2 防火 墙 技 术 
1. 防火 墙 技术 简介 


所 谓 防 火 墙 (Fire Wall) 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 .在 内 部 网 和 外 部 网 之 
间 、 专 用 网 与 公共 网 之 间 的 边界 上 构造 的 保护 屏障 。 

防火 墙 是 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 , 它 通过 在 网 络 边 界 上 建立 相应 的 网 
络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 , 以 阻挡 来 自 外 部 的 网 络 入 侵 。 

防火 墙 技术 ,最 初 是 针对 互联 网 的 不 安全 因素 所 采取 的 一 种 防御 保护 措施 。 顾 名 思 义 ， 
防火 墙 就 是 用 来 阻挡 网 络 外 部 不 安全 因素 影响 的 网 络 屏障 ,其 目的 就 是 防止 外 部 网 络 用 户 
未 经 授权 的 访问 。 它 是 一 种 计算 机 软件 和 硬件 相互 融合 的 技术 ,可 使 互联 网 与 内 部 网 
(JIntranet) 之 间 建 立 起 一 个 安全 网 关 (Security Gateway) ,从 而 保护 内 部 网 络 免 受 非法 用 户 
的 侵入 。 防 火 墙 主 要 由 服务 访问 政策 ,验证 工具 、 包 过 滤 和 应 用 网 关 等 4 部 分 组 成 。 防 火 墙 
是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 软件 或 硬件 ,流入 或 流出 该 计算 机 的 所 有 网 络 
通信 数据 都 要 经 过 此 防火 墙 的 过 滤 。 

使 用 防火 墙 的 好 处 有 : 保护 脆弱 的 服务 ,控制 对 系统 的 访问 ,集中 进行 安全 管理 ,增强 
保密 性 ,记录 和 统计 网 络 利 用 数据 以 及 非法 使 用 数据 情况 。 防 火 墙 的 设计 通常 有 两 种 基本 
设计 策略 : 第 一 ,允许 任何 服务 除非 被 明确 禁止 ; 第 二 ,禁止 任何 服务 除非 被 明确 允许 。 一 
般 采 用 第 二 种 策略 。 


2. 防火 墙 的 工作 原理 


目前 ,防火 墙 技术 已 经 发 展 成 为 一 种 成 熟 的 保护 计算 机 网 络 安全 的 技术 。 它 是 一 种 隔 
离 控制 技术 ,在 某 个 机 构 的 网 络 和 不 安全 的 网 络 (如 Internet) 之 间 设 置 屏障 ,阻止 对 信息 资 
源 的 非法 访问 ,也 可 以 使 用 防火 墙 阻止 重要 信息 从 企业 的 网 络 上 非法 输出 。 

作为 Internet 网 的 安全 性 保护 软件 ,防火 墙 已 经 得 到 广泛 的 应 用 。 通 常 企业 为 了 维护 
内 部 的 信息 系统 安全 ,在 企业 网 和 Internet 间 设 立 防火 墙 软件 。 企 业 信息 系统 对 于 来 自 
Internet 的 访问 ,采取 有 选择 的 接收 方式 。 它 可 以 允许 或 禁止 某 类 具体 的 IP 地 址 访问 ,也 
可 以 接收 或 拒绝 TCP/IP 上 的 某 一 类 具体 的 应 用 。 如 果 在 某 一 台 IP 主机 上 有 需要 禁止 的 
信息 或 危险 的 用 户 , 则 可 以 通过 设置 使 用 防火 墙 过 滤 掉 从 该 主机 发 出 的 数据 包 。 如 果 一 个 
企业 只 是 使 用 Internet 的 电子 邮件 和 WWW 服务 器 向 外 部 提供 信息 ,那么 就 可 以 在 防火 墙 
上 设置 只 有 这 两 类 应 用 的 数据 包 可 以 通过 。 这 对 于 路 由 器 来 说 ,就 要 不 仅 分 析 IP 层 的 信 
息 ,而 且 还 要 进一步 了 解 TCP 传输 层 甚至 应 用 层 的 信息 以 进行 取舍 。 防 火 墙 一 般 安装 在 路 
由 器 上 以 保护 一 个 子 网 ,也 可 以 安装 在 一 台 主 机 上 ,保护 这 台 主 机 不 受 侵犯 。 


132 


vt 


物 联 网 安全 技术 


3. 防火 墙 的 分 类 


从 应 用 角度 来 分 类 ,防火墙 可 以 分 为 两 大 类 , 即 网 络 防火 墙 和 计算 机 防火 墙 。 

网 络 防火 墙 如 图 5-1 所 示 ,网 络 防火 墙 是 指 在 外 部 网 络 和 企业 内 部 网 络 之 间 设 置 网 络 
防火 墙 。 这 种 防火 墙 又 称 筛选 路 由 器 。 网 络 防火 墙 检测 进入 信息 的 协议 .目的 地 址 .端口 
(网 络 层 ) 及 被 传输 的 信息 形式 (应 用 层 ) 等 ,过 滤 并 清除 不 符合 规定 的 外 来 信息 。 网 络 防火 
墙 也 对 用 户 内 部 网 络 向 外 部 网 络 发 出 的 信息 进行 检测 。 


网 
络 

外 部 网 络 -| 防 
防 
基 


图 5-1 网 络 防火 墙 


计算 机 防火 墙 如 图 5-2 所 示 。 计 算 机 防火 墙 是 指 在 外 部 网 络 和 用 户 计算 机 之 间 设 置 防 
火 墙 。 计 算 机 防火 墙 也 可 以 是 用 户 计算 机 的 一 部 分 。 计 算 机 防火 墙 检测 接口 规程 传输 协 
议 、 目 的 地 址 及 /或 被 传输 的 信息 结构 等 ,将 不 符合 规定 的 进入 信息 剔除 。 计 算 机 防火 墙 对 
用 户 计算 机 输出 的 信息 进行 检查 ,并 加 上 相应 协议 层 的 标志 ,用 以 将 信息 传送 到 接收 用 户 计 


算 机 (或 网 络 ) 中 去 。 
算 
Ce ) 修了 用 户 计算 机 


图 5-2 计算 机 防火 墙 


从 工作 原理 来 分 类 ,防火墙 可 以 分 为 四 大 类 : 网 络 级 防火 墙 ( 也 称 为 包 过 滤 型 防火 墙 )、 
应 用 级 网 关 、 电 路 级 网 关 和 规则 检查 防火 墙 。 它 们 之 间 各 有 所 长 ,具体 使 用 哪 一 种 或 是 否 混 
合 使 用 , 则 要 由 企业 的 实际 需求 来 确定 。 

1) 网 络 级 防火 墙 

网 络 级 防火 墙 一 般 是 基于 源 地 址 和 目的 地 址 、 应 用 、 协 议 以 及 每 个 IP 包 的 端口 来 作出 
通过 与 否 的 判断 。 一 个 路 由 器 便 是 一 个 “传统 "的 网 络 级 防火 墙 ,大 多 数 的 路 由 器 都 能 通过 
检查 这 些 信息 来 决定 是 否 将 所 收 到 的 包 转发 ,但 它 不 能 判断 出 一 个 IP 包 来 自 何 方 ,去 向 何 
处 。 防 火 墙 检 查 每 一 条 规则 直至 发 现 包 中 的 信息 与 某 规 则 相符 。 如 果 没 有 一 条 规则 符合 ， 
防火 墙 就 会 使 用 默认 规则 ,一 般 情况 下 ,默认 规则 就 是 要 求 防 火 墙 丢弃 该 包 。 其 次 ,通过 定 
义 基 于 TCP 或 UDP 数据 包 的 端口 号 ,防火 墙 能 够 判断 是 否 允 许 建立 特定 的 连接 ,如 
Telnet、FTP 连接 。 

2) 应 用 级 网 关 

应 用 级 网 关 能 够 检查 进出 的 数据 包 , 通 过 网 关 复 制 传 递 数据 ,防止 在 受信 任 服务 器 和 客 
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户 机 与 不 受信 任 的 主机 间 直 接 建 立 联 系 。 应 用 级 网 关 能 够 理解 应 用 层 上 的 协议 ,能 够 做 复 
杂 一 些 的 访问 控制 ,并 做 精细 的 注册 和 稽核 。 它 针对 特别 的 网 络 应 用 服务 协议 即 数据 过 滤 
协议 ,并 且 能 够 对 数据 包 分 析 并 形成 相关 的 报告 。 应 用 网 关 对 某 些 易于 登录 和 控制 所 有 输 
出 输入 的 通信 的 环境 给 予 严 格 的 控制 ,以 防 有 价值 的 程序 和 数据 被 窃取 。 在 实际 工作 中 ,应 
用 网 关 一 般 由 专用 工作 站 系统 来 完成 。 但 每 一 种 协议 需要 相应 的 代理 软件 ,使 用 时 工作 量 
大 ,效率 不 如 网 络 级 防火 墙 。 应 用 级 网 关 有 较 好 的 访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ， 
但 实现 困难 ,而 且 有 的 应 用 级 网 关 缺 乏 * 透 明度 ”。 在 实际 使 用 中 ,用 户 在 受信 任 的 网 络 上 通 
过 防火 墙 访问 Internet 时 ,经 常会 发 现存 在 延迟 并 且 必 须 进行 多 次 登录 (Login) 才 能 访问 
Internet 或 Intranet 。 

3) 电路 级 网 关 

电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信息 ,以 
便 来 决定 该 会 话 (Session) 是 否 合法 ,电路 级 网 关 是 在 OSI 模型 中 会 话 层 上 来 过 滤 数 据 包 ， 
这 样 比 包 过 滤 防 火 墙 要 高 二 层 。 电 路 级 网 关 还 提供 一 个 重要 的 安全 功能 : 代理 服务 器 
(Proxy Server) 。 代 理 服 务 器 是 设置 在 Internet 防火 墙 网 关 的 专用 应 用 级 代码 。 这 种 代理 
服务 准许 网 管 员 人 允许 或 拒绝 特定 的 应 用 程序 或 一 个 应 用 的 特定 功能 。 包 过 滤 技 术 和 应 用 网 
关 是 通过 特定 的 迎 辑 判断 来 决定 是 否 允 许 特定 的 数据 包 通过 ,一旦 判断 条 件 满足 ,防火 墙 内 
部 网 络 的 结构 和 运行 状态 便 “ 暴 露 ” 在 外 来 用 户 面前 ,这 就 引入 了 代理 服务 的 概念 , 即 防 火 墙 
内 外 计算 机 系统 应 用 层 的 “链接 ”由 两 个 终止 于 代理 服务 的 “链接 ”来 实现 ,这 就 成 功 地 实现 
了 防火 墙 内 外 计算 机 系统 的 隔离 。 同 时 ,代理 服务 还 可 用 于 实施 较 强 的 数据 流 监控 \ 过 滤 、 
记录 和 报告 等 功能 。 代 理 服 务 技术 主要 通过 专用 计算 机 硬件 (如 工作 站 ) 来 承担 。 

4) 规则 检查 防火 墙 

规则 检查 防火 墙 综合 了 包 过 滤 防 火 墙 , 电 路 级 网 关 和 应 用 级 网 关 的 优点 。 它 与 包 过 滤 
防火 墙 一 样 ,规则 检查 防火 墙 能 够 在 OSI 网 络 层 上 通过 IP 地 址 和 端口 号 ,过 滤 进 出 的 数据 
包 。 它 也 如 同 电路 级 网 关 一 样 ,能 够 检查 SYN 和 ACK 标记 和 序列 数字 是 否 逻辑 有 序 。 当 
然 , 它 也 如 同 应 用 级 网 关 一 样 ,可 以 在 OSI 应 用 层 上 检查 数据 包 的 内 容 , 查 看 这 些 内 容 是 否 
能 符合 企业 网 络 的 安全 规则 。 规 则 检查 防火 墙 虽然 集成 前 三 者 的 特点 ,但 是 不 同 于 一 个 应 
用 级 网 关 的 是 , 它 并 不 打破 客户 机 /服务 器 模式 来 分 析 应 用 层 的 数据 , 它 允 许 受信 任 的 客户 
机 和 不 受信 任 的 主机 建立 直接 连接 。 规 则 检查 防火 墙 不 依靠 与 应 用 层 有 关 的 代理 ,而 是 依 
靠 某 种 算法 来 识别 进出 的 应 用 层 数据 ,这 些 算 法 通过 已 知 合法 数据 包 的 模式 来 比较 进出 数 
据 包 ,这 样 从 理论 上 就 能 比 应 用 级 代理 在 过 滤 数 据 包 上 更 有 效 。 


4. 防火 墙 的 功能 


防火 墙 对 流 经 它 的 网 络 通信 进行 扫描 ,这 样 能 够 过 滤 掉 一 些 攻击 ,以免 其 在 目标 计算 机 
上 被 执行 。 防 火 墙 还 可 以 关闭 不 使 用 的 端口 。 而 且 它 还 能 禁止 特定 端口 的 流出 通信 ,封锁 
桂 洛 伊 木马 。 最 后 , 它 可 以 禁止 来 自 特殊 站 点 的 访问 ,从 而 防止 来 自 不 明 入 侵 者 的 所 有 
通信 。 

1) 网 络 安全 的 屏障 

一 个 防火 墙 ( 作 为 阻塞 点 ,控制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 
安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 , 所 以 网 络 环 
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境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 访问 受 保护 网 络 ,这 
样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆 弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 络 
免 受 基于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 
应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

2) 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 密码 .加 密 、 身 份 认证 、 审 
计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 
更 经 济 。 例 如 在 网 络 访问 时 ,一 次 一 密 的 密码 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 
散在 各 个 主机 上 ,而 集中 在 防火 墙 上 。 

3) 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 ,防火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记 录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报 
警 , 并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 
也 是 非常 重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 
清楚 防火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需 求 分 析 和 威胁 分 析 等 而 言 也 是 非常 
重要 的 。 

4) 防止 内 部 信息 的 外 汇 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 部 重 
点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ,一 
个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ,其 
至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 内 部 细节 的 服 
务 , 如 Finger,DNS 等 服务 。Finger 服务 显示 主机 的 所 有 用 户 的 注册 名 和 真名 ,最 后 登录 时 
间 和 使 用 shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知 
道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正在 连 线 上 网 ,这 个 系统 是 否 在 被 攻击 时 
引起 注意 等 等 。 防 火 墙 同样 可 以 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这 样 一 台 主 机 的 域名 和 
IP 地 址 就 不 会 被 外 界 所 了 解 。 除 了 安全 作用 ,防火 墙 还 支持 具有 Internet 服务 特性 的 企业 
内 部 网 络 技术 体系 VPN( 虚 拟 专用 网 ) 。 

5) 数据 包 过 滤 

网 络 上 的 数据 都 是 以 包 为 单位 进行 传输 的 ,每 一 个 数据 包 中 都 会 包含 一 些 特定 的 信息 ， 
如 数据 的 源 地 址 .目标 地 址 、 源 端口 号 和 目标 端口 号 等 。 防 火 墙 通过 读 取 数据 包 中 的 地 址 信 
息 来 判断 这 些 包 是 否 来 自 可 信任 的 网 络 , 并 与 预先 设 定 的 访问 控制 规则 进行 比较 ,进而 确定 
是 否 需 对 数据 包 进行 处 理 和 操作 。 数 据 包 过 滤 可 以 防止 外 部 不 合法 用 户 对 内 部 网 络 的 访 
问 , 但 由 于 不 能 检测 数据 包 的 具体 内 容 , 所 以 不 能 识别 具有 非法 内 容 的 数据 包 , 无 法 实施 对 
应 用 层 协议 的 安全 处 理 。 

6) 网 络 IP 地 址 转换 

网 络 IP 地 址 转换 是 一 种 将 私有 IP 地 址 转化 为 公 网 IP 地 址 的 技术 , 它 被 广泛 应 用 于 各 
种 类 型 的 网 络 和 互联 网 的 接 入 中 。 网 络 IP 地 址 转换 一 方面 可 隐藏 内 部 网 络 的 真实 IP 地 
址 ,使 内 部 网 络 免 受 黑客 的 直接 攻击 ; 另 一 方面 由 于 内 部 网 络 使 用 了 私有 IP 地 址 ,从 而 有 
效 解决 了 公 网 卫 地 址 不 足 的 问题 。 
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7) 虚拟 专用 网 络 

虚拟 专用 网 络 将 分 布 在 不 同 地 域 上 的 局 域 网 或 计算 机 通过 加 密 通信 ,虚拟 出 专用 的 传 
输 通道 ,从 而 将 它们 从 逻辑 上 连 成 一 个 整体 ,不 仅 省 去 了 建设 专用 通信 线路 的 费用 ,还 有 效 
地 保证 了 网 络 通信 的 安全 。 

8) 日 志 记 录 与 事件 通知 

进出 网 络 的 数据 都 必须 经 过 防火 墙 ,防火 墙 通过 日 志 对 其 进行 记录 ,能 提供 网 络 使 用 的 
详细 统计 信息 。 当 发 生 可 疑 事件 时 ,防火 墙 能 根据 安全 机 制 进 行 报警 和 通知 ,提供 网 络 是 否 
受到 威胁 的 信息 。 


5. 防火 墙 技术 的 应 用 


防火 墙 技术 对 物 联 网 具有 很 好 的 保护 作用 。 入 侵 者 必须 首先 穿越 防火 墙 的 安全 防线 ， 
才能 接触 目标 计算 机 。 网 络 管理 员 可 以 将 防火 墙 配置 成 许多 不 同 保护 级 别 。 高 级 别 的 保护 
可 能 会 禁止 一 些 服 务 ,如 视频 流 等 ,但 这 是 提高 内 部 网 络 安全 性 的 有 效 措施 。 

在 应 用 防火 墙 技术 时 ,还 应 当 注意 以 下 两 个 方面 : 

(1) 防火 墙 是 不 能 防御 病毒 的 ,尽管 有 不 少 的 防火 墙 产品 声称 自己 具有 防 病毒 功能 。 

(2) 防火 墙 技术 的 另外 一 个 缺点 是 在 防火 墙 之 间 的 数据 难以 更 新 ,如 果 数 据 更 新 需要 
延迟 太 长 的 时 间 ,将 无 法 响应 实时 服务 请 求 。 此 外 ,防火 墙 采 用 滤波 技术 ,滤波 通常 会 使 网 
络 的 传输 性 能 降低 50% 以 上 ,如 果 为 了 改善 网 络 性 能 而 购置 高 速 路 由 器 ,又 会 大 大 增加 网 
络 设备 的 经 费 。 

总 之 ,防火 墙 技术 是 物 联网 安全 的 一 种 可 行 技术 , 它 可 以 把 公共 数据 和 服务 置 于 防火 墙 
外 ,使 其 对 防火 墙 内 部 资源 的 访问 受到 限制 。 作 为 一 种 网 络 安全 技术 ,防火墙 具有 简单 实用 
的 特点 ,并 且 透 明度 高 ,可 以 在 不 修改 原 有 网 络 应 用 系统 的 情况 下 达到 一 定 的 安全 要 求 。 


5.1.3 网 络 虚拟 化 技术 


1. 网 络 虚拟 化 技术 概述 


网 络 虚拟 化 一 般 指 虚拟 专用 网 络 (Virtual Private Network,VPN)。VPN 对 网 络 连接 
的 概念 进行 了 抽象 ,允许 用 户 远 程 地 访问 企业 或 组 织 的 内 部 网 络 ,就 像 物 理 上 连接 到 该 网 络 
一 样 。 网 络 虚 拟 化 可 以 帮助 保护 IT 环境 ,防止 来 自 Internet 的 威胁 ,同时 使 用 户 能 够 快速 
地 ,安全 地 访问 企业 内 部 的 应 用 程序 和 数据 。 

虚拟 专用 网 络 是 通过 公用 网 络 ( 通 常 是 国际 互联 网 ) 建 立 的 临时 的 、 安 全 的 特殊 网 络 , 是 
一 条 穿 过 公用 网 络 的 、 安 全 的 稳定 的 加 密 隧 道 。 使 用 这 条 隧道 可 以 对 数据 进行 加 密 , 以 达 
到 安全 使 用 互联 网 的 目的 。 

虚拟 专用 网 络 可 以 实现 不 同 网 络 的 组 件 和 资源 之 间 的 相互 连接 。 虚 拟 专用 网 络 能 够 利 
用 Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 隧道 ,并 提供 与 专用 网 络 一 样 的 安 
全 和 功能 保障 。 虚 拟 专用 网 络 的 结构 如 图 5-3 所 示 。 

在 企业 的 内 部 网 络 中 ,考虑 到 一 些 部 门 可 能 存储 有 重要 数据 ,为 确保 数据 的 安全 性 , 传 
统 的 方式 只 能 是 把 这 些 部 门 同 整个 企业 网 络 断 开 形成 孤立 的 小 网 络 。 这 样 做 虽然 保护 了 部 
门 的 重要 信息 ,但 是 由 于 物理 上 的 中 断 , 使 其 他 部 门 的 用 户 无 法 访问 ,造成 通信 上 的 困难 。 
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图 5-3 虚拟 专用 网 络 的 结构 


采用 VPN 方案 ,通过 使 用 一 台 VPN 服务 器 既 能 够 实现 与 整个 企业 网 络 的 连接 ,又 可 
以 保证 保密 数据 的 安全 性 。 路 由 器 虽然 也 能 够 实现 网 络 之 间 的 互联 ,但 是 并 不 能 对 流向 敏 
感 网 络 的 数据 进行 限制 。 企 业 网 络 管理 人 员 通 过 使 用 VPN 服务 器 ,指定 只 有 符合 特定 身 
份 要 求 的 用 户 才能 连接 VPN 服务 器 获得 访问 敏感 信息 的 权利 。 此 外 ,可 以 对 所 有 VPN 数 
据 进行 加 密 , 从 而 确保 数据 的 安全 性 。 没 有 访问 权利 的 用 户 无 法 看 到 部 门 的 局 域 网 络 。 

虚拟 专用 网 络 允 许 远程 通信 方 ,销售 人 员 或 企业 分 支 机 构 使 用 Internet 等 公共 互联 网 
络 的 路 由 基础 设施 以 安全 的 方式 与 位 于 企业 局 域 网 端的 企业 服务 器 建立 连接 。 虚 拟 专用 网 
络 对 用 户 端 透明 ,用 户 好 像 使 用 一 条 专用 线路 在 客户 计算 机 和 企业 服务 器 之 间 建 立 点 对 点 
连接 ,进行 数据 的 传输 。 

虚拟 专用 网 络 技术 同样 支持 企业 通过 Internet 等 公共 互联 网 络 与 分 支 机 构 或 其 他 公司 
建立 连接 ,进行 安全 的 通信 。 这 种 跨越 Internet 建立 的 VPN 连接 逻辑 上 等 同 于 两 地 之 间 使 
用 广域网 建立 的 连接 。 

虽然 VPN 通信 建立 在 公共 互联 网 络 的 基础 上 ,但 是 用 户 在 使 用 VPN 时 感觉 如 同 在 使 
用 专用 网 络 进行 通信 ,所 以 得 名 虚拟 专用 网 络 。 

使 用 VPN 技术 可 以 解决 在 当今 远程 通信 量 日 益 增 大 ,企业 全 球 运 作 广 泛 分 布 的 情况 
下 ,员工 需要 访问 中 央 资 源 , 企 业 相互 之 间 必 须 进行 及 时 和 有 效 的 通信 的 问题 。 

虚拟 专用 网 络 支 持 以 安全 的 方式 通过 公共 互联 网 络 远程 访问 企业 资源 。 

在 选择 VPN 技术 时 ,一 定 要 考虑 管理 上 的 要 求 。 一 些 大 型 网 络 都 需要 把 每 个 用 户 的 
目录 信息 存放 在 一 台中 央 数 据 存储 设备 中 (目录 服务 ) 便 于 管理 人 员 和 应 用 程序 对 信息 进行 
添加 ,修改 和 查询 。 每 一 台 接 人 或 隧道 服务 器 都 应 当 能 够 维护 自己 的 内 部 数据 库 , 存 储 每 一 
个 用 户 的 账户 信息 ,包括 用 户 名 、 密 码 以 及 拨号 接 和 人 的 属性 等 。 但 是 ,这 种 由 多 台 服 务 器 维 
护 多 个 用 户 账户 的 做 法 ,很 难 实现 及 时 的 同步 更 新 ,这 给 管理 带 来 很 大 的 困难 。 因 此 ,大 多 
数 的 网 络 管理 员 采 用 在 目录 服务 器 、 主 域 控制 器 或 RADIUS 服务 器 上 ,建立 一 个 主 账 号 数 
据 库 的 方法 ,来 进行 统一 的 有 效 的 管理 。 


2. 虚拟 专用 网 络 的 连接 方式 
通常 可 以 采用 以 下 两 种 方式 来 实现 远程 企业 内 部 网 络 的 连接 。 
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1) 使 用 专线 连接 分 支 机 构 和 企业 局 域 网 

专线 方式 不 需要 使 用 价格 昂贵 的 长 距离 专用 线路 ,分 支 机构 和 企业 端的 路 由 器 可 以 使 
用 各 自 本 地 的 专用 线路 ,通过 本 地 的 ISP 连通 Internet。 通 过 VPN 软件 与 本 地 ISP 建立 连 
接 的 方式 ,在 Internet 与 分 支 机 构 和 企业 端的 路 由 器 之 间 建 立 一 个 虚拟 专用 网 络 。 

2) 使 用 拨打 本 地 ISP 号 码 的 方式 连接 分 支 机构 和 企业 内 部 网 

区 别 于 传统 的 连接 分 支 机 构 路 由 器 的 拨打 长 途 电话 的 方式 ,分 支 机 构 端的 路 由 器 可 以 
通过 拨号 方式 连接 本 地 ISP。VPN 软件 使 用 与 本 地 ISP 建立 起 的 连接 ,在 分 支 机 构 和 企业 
端 路 由 器 之 间 创 建 一 个 跨越 Internet 的 虚拟 专用 网 络 。 

值得 注意 的 是 ,在 上 述 两 种 方式 中 ,是 通过 使 用 本 地 设备 在 分 支 机 构 和 企业 部 门 与 
Internet 之 间 建 立 连接 。 无 论 是 在 客户 端 还 是 服务 器 端 , 都 是 通过 拨打 本 地 接 人 电话 建立 
连接 ,因此 VPN 可 以 大 大 节省 连接 的 费用 。 建 议 将 VPN 服务 器 的 企业 端 路 由 器 以 专线 方 
式 连接 本 地 ISP。VPN 服务 器 必须 一 天 24 小 时 对 VPN 数据 流 进 行 监听 。 


3. VPN 系统 的 安全 需求 


一 般 来 说 ,企业 在 选用 一 种 远程 网 络 互联 方案 时 ,都 希望 能 够 对 访问 企业 资源 和 信息 的 
要 求 加 以 控制 ,所 选用 的 方案 应 当 既 能 够 实现 授权 用 户 与 企业 局 域 网 资源 的 自由 连接 ,不 同 
分 支 机 构 之 间 的 资源 共享 ; 又 能 够 确保 企业 数据 在 公共 互联 网 络 或 企业 内 部 网 络 上 传输 时 
安全 性 不 受 破坏 。 因 此 ,一 个 成 熟 的 VPN 系统 应 当 能 够 同时 满足 以 下 几 个 方面 的 安全 

1) 身份 认证 

VPN 系统 必须 能 够 认证 用 户 的 身份 ,并 且 严 格 控 制 只 有 授权 用 户 才能 访问 VPN。 此 
外 ,方案 还 必须 能 够 提供 审计 和 计 费 功能 ,能 够 追踪 到 什么 人 在 什么 时 候 访问 了 VPN。 


2) 地 址 管理 

VPN 系统 必须 能 够 为 用 户 分 配 专 用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 。 

3) 数据 加 密 

对 通过 公共 互联 网 络 传递 的 数据 必须 经 过 加 密 , 确 保 网 络 其 他 未 授权 的 用 户 无 法 读 取 
该 信息 。 

4) 密 钥 管 理 

VPN 系统 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 

5) 多 协议 支持 


VPN 系统 必须 支持 公共 互联 网 络 上 普遍 使 用 的 基本 协议 ,包括 IP、IPX 协议 等 。 以 点 
对 点 隧道 协议 (PPTP) 或 第 2 层 隧道 协议 (L2TP) 为 基础 的 VPN 方案 , 既 能 够 满足 以 上 所 
有 的 基本 要 求 ,又 能 够 充分 利用 遍及 世界 各 地 的 Internet 互联 网 络 的 优势 。 其 他 方案 ,包括 
安全 PP 协议 (IPSec) ,虽然 不 能 满足 上 述 全 部 要 求 , 但 是 仍然 适用 于 在 特定 的 环境 。 以 下 将 
主要 集中 讨论 有 关 VPN 的 概念 .协议 和 部 件 (Component) 。 


4. 隧道 技术 


隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 使 用 隧道 
传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 这 些 其 他 协议 的 数据 帧 或 
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包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 负载 数据 能 够 通 
过 互联 网 络 传递 。 

被 封装 的 数据 包 在 隧道 的 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 。 被 封装 的 数据 包 
在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 隧道 。 一 旦 到 达 网 络 终点 ,数据 将 被 解 包 
并 转发 到 最 终 目的 地 。 注 意 隧 道 技术 是 指 包括 数据 封装 ,传输 和 解 包 在 内 的 全 过 程 。 

隧道 所 使 用 的 传输 网 络 可 以 是 任何 类 型 的 公共 互联 网 络 ,本 节 主 要 以 目前 广泛 使 用 
Internet 为 例 进行 说 明 。 此 外 ,在 企业 网 络 同样 可 以 创建 隧道 。 隧 道 技术 在 经 过 一 段 时 间 
的 研究 发展 和 完善 之 后 ,已 经 逐渐 成 熟 。 常 用 的 隧道 技术 主要 包括 : 

1) IP 网 络 上 的 SNA 隧道 技术 

当 系 统 网 络 结构 (System Network Architecture, SNA) 的 数据 流通 过 企业 IP 网 络 传送 
时 ,SNA 数据 帧 将 被 封装 在 UDP 和 IP 协议 包头 中 。 

2) IP 网 络 上 的 Novell NetWare IPX 隧道 技术 

当 一 个 IPX 数据 包 被 发 送 到 NetWare 服务 器 或 IPX 路 由 器 时 ,服务 器 或 路 由 器 用 
UDP 和 IP 包头 封装 IPX 数据 包 后 通过 IP 网 络 发 送 。 另 一 端的 IP-TO-IPX 路 由 器 在 去 除 
UDP 和 IP 包头 之 后 ,把 数据 包 转发 到 IPX 目的 地 。 

3) 点 对 点 隧道 协议 (PPTP) 

PPTP 协议 允许 对 IP,IPX 或 NetBEUI 数据 流 进行 加 密 , 然 后 封装 在 IP 包头 中 通过 企 
业 IP 网 络 或 公共 互联 网 络 发 送 。 

4) 第 2 层 隧 道 协议 (L2TP) 

L2TP 协议 允许 对 IP,IPX 或 NetBEUI 数据 流 进行 加 密 , 然 后 通过 支持 点 对 点 数据 报 
传递 的 任意 网 络 发 送 ,如 IP、X.25, 帧 中 继 或 ATM。 

5) 安全 IP(IPSec) 隧 道 模式 

IPSec 隧道 模式 允许 对 IP 负载 数据 进行 加 密 , 然 后 封装 在 IP 包头 中 通过 企业 IP 网 络 
或 公共 IP 互联 网 络 如 Internet 发 送 。 


5. 隧道 协议 分 析 


为 了 创建 隧道 ,隧道 的 客户 机 和 服务 器 双方 都 必须 遵守 相同 的 隧道 协议 。 

隧道 技术 可 以 分 别 以 第 2 层 或 第 3 层 隧道 协议 为 基础 。 分 层 按照 开放 系统 互联 (OSI) 
的 参考 模型 划分 。 第 2 层 隧 道 协议 对 应 OSI 模型 中 的 数据 链 路 层 , 使 用 帧 作为 数据 交换 单 
位 。PPTP,L2TP 和 L2F( 第 2 层 转发 ) 都 属于 第 2 层 隧 道 协议 ,都 是 将 数据 封装 在 点 对 点 
协议 (PPP) 帧 中 通过 互联 网 络 发 送 。 第 3 层 隧道 协议 对 应 OSI 模型 中 的 网 络 层 , 使 用 包 作 
为 数据 交换 单位 。IP over IP 以 及 IPSec 隧道 模式 都 属于 第 3 层 隧 道 协议 ,都 是 将 IP 包 封 
装 在 附加 的 IP 包头 中 通过 IP 网 络 传送 的 。 

对 于 像 PPTP 和 L2TP 这 样 的 第 2 层 隧道 协议 ,创建 隧道 的 过 程 类 似 于 在 双方 之 间 建 
立会 话 ; 隧道 的 两 个 端点 必须 同意 创建 隧道 并 协商 隧道 各 种 配置 变量 ,如 地 址 分 配 , 加 密 或 
压缩 等 参数 。 绝 大 多 数 情况 下 ,通过 隧道 传输 的 数据 都 使 用 基于 数据 报 的 协议 发 送 。 隧 道 
维护 协议 被 用 来 作为 管理 隧道 的 机 制 。 

第 3 层 隧道 技术 通常 假定 所 有 配置 问题 已 经 通过 手工 过 程 完成 。 这 些 协议 不 对 隧道 进 
行 维 护 。 与 第 3 层 隧 道 协议 不 同 ,第 2 层 隧道 协议 (PPTP 和 L2TP) 必 须 包 括 对 隧道 的 创 
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建 、 维 护 和 终止 。 

隧道 客户 端 和 服务 器 使 用 隧道 数据 传输 协议 传输 数据 。 隧 道 一 旦 建立 ,数据 就 可 以 通 
过 隧道 传输 。 当 隧道 客户 端 向 服务 器 端 发 送 数据 时 ,客户 端 首先 给 负载 数据 加 上 一 个 隧道 
数据 传送 协议 包头 ,然后 把 封装 好 的 数据 通过 互联 网 络 发 送 ,并 由 互联 网 络 将 数据 转发 到 隧 
道 的 服务 器 端 。 隧 道 的 服务 器 端 收 到 数据 包 之 后 ,会 删除 隧道 数据 传输 协议 包头 ,然后 将 负 
载 数据 转发 到 目标 网 络 。 

1) 第 2 层 隧道 协议 的 特点 

第 2 层 隧 道 协议 (PPTP 和 L2TP) 以 完善 的 PPP 协议 为 基础 , 它 继承 了 PPP 协议 的 
特性 。 

(1) 用 户 验证 。 

第 2 层 隧道 协议 继承 了 PPP 协议 的 用 户 验 证 方式 。 许 多 第 3 层 隧道 技术 都 假定 在 创 
建 隧道 之 前 ,隧道 的 两 个 端点 相互 之 间 已 经 了 解 或 已 经 经 过 验证 。 一 个 例外 情况 是 IPSec 
协议 的 ISAKMP 协商 提供 了 隧道 端点 之 间 进 行 的 相互 验证 。 

(2) 令 牌 卡 (Token Card) 支 持 。 

通过 使 用 扩展 验证 协议 (EAP) ,第 2 层 隧道 协议 能 够 支持 多 种 验证 方法 ,包括 一 次 性 密 
人 码 (one-time password) ,加 密 计算 器 (cryptographic calculator) 和 智能 卡 等。 第 3 层 隧道 协 
议 也 支持 使 用 类 似 的 方法 ,例如 ,IPSec 协议 通过 ISAKMP/Oakley 协商 确定 公共 密 钥 证 书 
验证 。 

(3) 动态 地 址 分 配 。 

第 2 层 障 道 协议 支持 在 网 络 控制 协议 (NCP) 协 商机 制 的 基础 上 动态 分 配 客 户 地 址 。 第 
3 层 隧道 协议 通常 假定 隧道 建立 之 前 已 经 进行 了 地 址 分 配 。 目 前 IPSec 隧道 模式 下 的 地 址 
分 配方 案 仍 在 开发 之 中 。 

(4) 数据 压缩 。 

第 2 层 隧 道 协 议 支持 基于 PPP 的 数据 压缩 方式 。 例 如 ,微软 的 PPTP 和 L2TP 方案 使 
用 微软 点 对 点 加 密 协 议 (MPPE)。IETP 正在 开发 应 用 于 第 3 层 隧 道 协议 的 类 似 数据 压缩 
机 制 。 

(5) 数据 加 密 。 

第 2 层 隧 道 协 议 支持 基于 PPP 的 数据 加 密 机 制 。 微 软 的 PPTP 方案 支持 在 RSA/RC4 
算法 的 基础 上 选择 使 用 MPPE。 第 3 层 隧道 协议 可 以 使 用 类 似 方法 ,例如 ,IPSec 通过 
ISAKMP/Oakley 协商 确定 几 种 可 选 的 数据 加 密 方法 。 微 软 的 L2TP 协议 使 用 IPSec 加 密 
保障 隧道 客户 端 和 服务 器 之 间 数 据 流 的 安全 。 

(6) 密 钥 管理 。 

作为 第 2 层 协议 的 MPPE 依靠 验证 用 户 时 生成 的 密 钥 ,定期 对 其 更 新 。IPSec 在 
ISAKMP 交换 过 程 中 公开 协商 公用 密 钥 ,同样 对 其 进行 定期 更 新 。 

(7) 多 协议 支持 。 

第 2 层 隧 道 协 议 支 持 多 种 负载 数据 协议 ,从 而 使 隧道 客户 能 够 访问 使 用 IP,IPX, 或 
NetBEUI 等 多 种 协议 企业 网 络 。 相 反 , 第 3 层 隧 道 协议 ,如 IPSec 隧道 模式 只 能 支持 使 用 
IP 协议 的 目标 网 络 。 

一 旦 完成 了 协商 ,PPP 就 开始 在 连接 对 等 双方 之 间 转 发 数据 。 每 个 被 传送 的 数据 报 都 
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被 封装 在 PPP 包头 内 ,该 包头 将 会 在 到 达 接 收 方 之 后 被 去 除 。 如 果 在 阶段 1 选择 使 用 数据 
压缩 并 且 在 阶段 4 完成 了 协商 ,数据 将 会 在 被 传送 之 间 进 行 压 缩 。 类 似 地 ,如 果 已 经 选择 使 
用 数据 加 密 并 完成 了 协商 ,数据 (或 被 压缩 数据 ) 将 会 在 传送 之 前 进行 加 密 。 

2) 点 对 点 隧道 协议 

点 对 点 隧道 协议 (PPTP) 是 一 个 第 2 层 的 协议 ,将 PPP 数据 帧 封装 在 IP 数据 报 内 通过 
IP 网 络 ,如 Internet 传送 。PPTP 还 可 用 于 专用 局 域 网 络 之 间 的 连接 。RFC 草案 “点 对 点 
隧道 协议 ”对 PPTP 协议 进行 了 说 明和 介绍 。 该 草案 由 PPTP 论坛 的 成 员 公司 ,包括 微软 、 
Ascend、3Com 和 ECI 等 公司 在 1996 年 6 月 提交 至 IETF 。 

PPTP 使 用 一 个 TCP 连接 对 隧道 进行 维护 ,使 用 通用 路 由 封装 (GRE) 技 术 把 数据 封装 
成 PPP 数据 帧 通过 隧道 传送 。 可 以 对 封装 PPP 帧 中 的 负载 数据 进行 加 密 或 压缩 。 

3) 第 2 层 转发 协议 

第 2 层 转发 协议 (L2F) 是 Cisco 公司 提出 的 一 种 隧道 技术 。 作 为 一 种 传输 协议 ,L2F 支 
持 拨号 接 和 人 服务 器 将 拨号 数据 流 封装 在 PPP 帧 内 ,并 通过 广域网 链 路 传送 到 L2F 服务 器 
(路 由 器 )。L2F 服务 器 把 数据 包 解压 后 ,重新 转发 到 网 络 。 与 PPTP 和 L2TP 不 同 ,L2F 没 
有 确定 的 客户 端 。 应 当 注 意 ,L2F 隧道 技术 仅仅 在 强制 隧道 中 有 效 。 

4) 第 2 层 隧 道 协议 (L2TP) 

第 2 层 隧 道 协议 综合 了 PPTP 和 L2F 协议 的 优点 。 设 计 者 希望 L2TP 能 够 综合 PPTP 
和 L2F 的 优势 。L2TP 是 一 种 网 络 层 协议 ,支持 封装 的 PPP 帧 在 IP,X. 25, 帧 中 继 或 ATM 
等 的 网 络 上 进行 传送 。 当 使 用 IP 作为 L2TP 的 数据 报 传输 协议 时 ,可 以 使 用 L2TP 作为 
Internet 网 络 上 的 隧道 协议 。L2TP 还 可 以 直接 在 各 种 WAN 媒介 上 使 用 而 不 需要 使 用 IP 
传输 层 。 

IP 网 上 的 L2TP 使 用 UDP 和 一 系列 的 L2TP 消息 对 隧道 进行 维护 。L2TP 同样 使 用 
UDP 将 L2TP 协议 封装 的 PPP 帧 通过 隧道 发 送 。 可 以 对 封装 PPP 帧 中 的 负载 数据 进行 加 
密 或 压缩 。 

PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ,然后 添加 附加 包头 用 于 数据 在 互联 
网 络 上 的 传输 。 尽 管 这 两 个 协议 非常 相似 ,但 是 两 者 仍然 存在 以 下 区 别 : 

(1) PPTP 要 求 互 联网 络 为 IP 网 络 。 

L2TP 只 要 求 隧 道 媒介 提供 面向 数据 包 的 点 对 点 的 连接 。L2TP 可 以 在 IP( 使 用 
UDP) 、 帧 中 继 永久 虚拟 电路 (PVC) 、X. 25 虚拟 电路 (VC) 或 ATM VC 网 络 上 使 用 。 

(2) PPTP 只 能 在 两 端点 间 建 立 单一 隧道 。 

L2TP 支持 在 两 端点 间 使 用 多 隧道 。 使 用 L2TP, 用 户 可 以 针对 不 同 的 服务 质量 创建 不 
同 的 隧道 。 

(3) L2TP 可 以 提供 包头 压缩 。 

当 压 缩 包 头 时 ,系统 开销 (Coverhead) 占 用 4 个 字 节 ,而 PPTP 协议 下 要 占用 6 个 字 节 。 

(4) 隧道 验证 。 

L2TP 可 以 提供 隧道 验证 ,而 PPTP 则 不 支持 隧道 验证 。 但 是 当 L2TP 或 PPTP 与 
IPSec 共同 使 用 时 ,可 以 由 IPSec 提供 隧道 验证 ,不 需要 在 第 2 层 协议 上 验证 隧道 。 
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6. IPSec 隧道 技术 


IPSec 协议 是 一 种 工作 在 网 络 层 的 网 络 协议 ,支持 IP 网 络 上 数据 的 安全 传输 。 除 了 对 
IP 数据 流 的 加 密 机 制 进行 了 规定 之 外 ,IPSec 协议 还 定义 了 IP over IP 隧道 模式 的 数据 包 
格式 ,一般 被 称 作 IPSec 隧道 模式 。 一 个 IPSec 隧道 由 一 个 隧道 客户 和 隧道 服务 器 组 成 ,两 
端 都 配置 使 用 IPSec 隧道 技术 ,采用 协商 加 密 机 制 。 

为 实现 在 专用 或 公共 IP 网 络 上 的 安全 传输 ,IPSec 隧道 模式 使 用 的 安全 方式 封装 和 加 
密 整 个 IP 包 。 然 后 对 加 密 的 负载 再 次 封装 在 明文 IP 包头 内 通过 网 络 发 送 到 隧道 服务 器 
端 。 隧 道 服 务 器 对 收 到 的 数据 报 进行 处 理 , 在 去 除 明文 IP 包头 ,对 内 容 进行 解密 之 后 ,获得 
最 初 的 负载 IP 包 。 负 载 耻 包 在 经 过 正常 处 理 之 后 被 路 由 到 位 于 目标 网 络 的 目的 地 。 

IPSec 隧道 模式 具有 以 下 特点 : 

(1) 只 能 支持 IP 数据 流 。 

(2) 工作 在 IP 栈 (IP Stack) 的 底层 ,因此 ,应 用 程序 和 高 层 协议 可 以 继承 IPSec 的 
行为 。 

(3) 由 一 个 安全 策略 (一 整套 过 滤 机 制 ) 进 行 控制 。 安 全 策略 按照 优先 级 的 先后 顺序 创 
建 可 供 使 用 的 加 密 和 隧道 机 制 以 及 验证 方式 。 当 需要 建立 通信 时 ,双方 机 器 执行 相互 验证 ， 
然后 协商 使 用 何 种 加 密 方式 。 此 后 的 所 有 数据 流 都 将 使 用 双方 协商 的 加 密 机 制 进行 加 密 ， 

IPSec 隧道 技术 是 一 种 由 国际 互联 网 工程 任务 组 (Internet Engineering Task Force， 
IETF) 定 义 的 、 端 到 端的 、 确 保 基 于 IP 通信 的 数据 安全 性 的 机 制 。IPSec 支持 对 数据 加 密 ， 
同时 确保 数据 的 完整 性 。 按照 IETF 的 规定 ,不 采用 数据 加 密 时 ,IPSec 使 用 验证 包头 
(AH) 提 供 验 证 来 源 验证 (Source Authentication) ,确保 数据 的 完整 性 ; 采用 数据 加 密 时 ， 
IPSec 使 用 封装 安全 负载 (ESP) 与 加 密 一 道 提 供 来 源 验 证 ,确保 数据 完整 性 。IPSec 协议 
下 ,只 有 发 送 方 和 接受 方 知道 加 密 密 钥 。 如 果 验 证 数据 有 效 ,接收 方 就 可 以 知道 数据 来 自发 
送 方 ,并 且 在 传输 过 程 中 没有 受到 破坏 。 

我 们 可 以 把 IPSec 协议 理解 为 位 于 TCP/IP 协议 栈 的 下 层 协议 。 该 层 由 每 台 机 器 上 的 
安全 策略 和 发 送 、 接 收 方 协商 的 安全 关联 (Security Association ) 进行 控制 。 安 全 策略 由 一 
套 过 滤 机 制 和 关联 的 安全 行为 组 成 。 如 果 一 个 数据 包 的 IP 地 址 ,协议 和 端口 号 满足 过 滤 机 
制 ,那么 这 个 数据 包 必 须 遵 守 关 联 的 安全 行为 。 

第 一 个 满足 过 滤 机 制 的 数据 包 将 会 引发 发 送 方 和 接收 方 对 安全 关联 进行 协商 。 
ISAKMP/OAKLEY 是 这 种 协商 采用 的 标准 协议 。 在 一 个 ISAKMP/OAKLEY 交换 过 程 
中 ,两 台 机 器 对 验证 和 数据 安全 方式 达成 一 致 ,进行 相互 验证 ,然后 生成 一 个 用 于 随后 的 数 
据 加 密 的 共享 密 钥 。 

通过 一 个 位 于 IP 包头 和 传输 包头 之 间 的 验证 包头 可 以 提供 IP 负载 数据 的 完整 性 和 数 
据 验证 。 验 证 包头 包括 验证 数据 和 一 个 序列 号 ,共同 用 来 验证 发 送 方 身份 ,确保 数据 在 传输 
过 程 中 没有 被 改动 ,防止 受到 第 三 方 的 攻击 。IPSec 验证 包头 不 提供 数据 加 密 ; 信息 将 以 明 
文 方式 发 送 。 

为 了 保证 数据 的 保密 性 并 防止 数据 被 第 3 方 窃取 ,封装 安全 负载 (ESP) 提 供 了 一 种 对 
了 负载 进行 加 密 的 机 制 。 另 外 ,ESP 还 可 以 提供 数据 验证 和 数据 完整 性 服务 ; 因此 在 
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IPSec 数据 包 中 ,可 以 用 ESP 包头 蔡 代 AH 包头 。 


5.1.4 黑客 攻击 与 防范 
1. 黑客 的 基本 概念 


黑客 一 般 是 指 网 络 的 非法 入 侵 者 ,他 们 往往 是 优秀 的 程序 员 , 具 有 计算 机 网 络 和 物 联 网 
的 软件 及 硬件 的 高 级 知识 ,并 有 能 力 通过 一 些 特殊 的 方法 训 析 和 攻击 网 络 。 黑 客 以 破坏 网 
络 系统 为 目的 ,往往 采用 某 些 不 正当 的 手段 找 出 网 络 的 漏洞 ,并 利用 网 络 漏洞 破坏 计算 机 网 
络 或 物 联 网 ,从 而 危害 网 络 的 安全 。 

2. 黑客 常用 的 攻击 方法 

1) 窃取 密码 

窃取 密码 是 最 常见 的 攻击 方法 之 一 。 一 般 来 说 ,黑客 窃取 密码 会 使 用 以 下 三 种 方法 : 

(1) 通过 网 络 监听 非法 获得 用 户 的 密码 ,这 类 方法 虽然 有 一 定 的 局 限 性 ,但 是 危害 性 极 
大 ,监听 者 往往 能 够 获得 其 所 在 网 段 的 所 有 用 户 账号 和 密码 ,对 局 域 网 安全 威胁 巨大 ; 

(2) 在 知道 用 户 的 账号 后 (如 电子 邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 用 户 
密码 ,这 种 方法 不 受 网 段 限制 ,但 黑客 要 有 足够 的 耐心 和 时 间 ; 

(3) 在 首先 获得 一 个 服务 器 上 的 用 户 密码 文件 (Shadow 文件 ) 后 ,再 用 暴力 破解 程序 破 
解 用 户 密 码 , 应 用 这 种 方法 的 前 提 条 件 是 黑客 要 先 获得 密码 的 Shadow 文件 。 

在 黑客 窃取 密码 的 这 三 种 方法 中 ,第 三 种 方法 的 危害 最 大 ,因为 它 不 需要 像 第 二 种 方法 
那样 ,一遍 又 一 遍地 尝试 登录 服务 器 ,而 是 在 本 地 将 加 密 后 的 密码 与 Shadow 文件 中 的 密码 
相 比较 ,就 可 以 非常 容易 地 破获 用 户 的 密码 ,尤其 对 那些 安全 意识 薄弱 的 用 户 。 

某 些 用 户 设置 的 密码 安全 系数 极 低 ,例如 某 个 用 户 的 账号 为 zys, 他 将 密码 简单 地 设置 
为 zys123、123456 等 ,因此 ,黑客 仅仅 需要 花 短 短 的 几 分 钟 ,甚至 几 十 秒 内 就 可 以 猜 出 密码 。 

2) 特洛伊 木马 程序 

特洛伊 木马 程序 可 以 直接 侵入 用 户 的 电脑 并 进行 破坏 , 它 经 常 被 伪装 成 工具 软件 或 者 
游戏 软件 , 诱 使 用 户 运行 从 网 上 下 载 的 带 有 特洛伊 木马 程序 的 软件 ,或 者 打开 带 有 特洛伊 木 
马 程序 的 电子 邮件 附件 ,一 旦 用 户 运行 了 特洛伊 木马 程序 之 后 ,它们 就 会 像 古代 特洛伊 人 在 
敌人 城 外 留 下 的 藏匿 了 士兵 的 木马 一 样 隐藏 在 用 户 的 电脑 中 ,并 在 用 户 的 计算 机 系统 中 隐 
藏 一 个 可 以 在 Windows 操作 系统 启动 时 悄悄 执行 的 程序 。 当 用 户 连接 到 互联 网 上 时 ,这 个 
程序 就 会 通知 黑客 ,并 报告 用 户 的 IP 地 址 以 及 预先 设 定 的 端口 。 黑 客 在 收 到 这 些 信息 后 ， 
利用 这 个 潜伏 在 其 中 的 木马 程序 ,就 可 以 任意 地 修改 用 户 的 计算 机 的 参数 设 定 、 复 制 文 件 、 
窥视 用 户 整个 硬盘 中 的 内 容 等 ,从 而 达到 控制 用 户 的 计算 机 的 目的 。 

3) www 欺骗 技术 

在 互联 网 上 ,用 户 可 以 利用 正 等 网 页 浏览 器 访问 各 种 各 样 的 网 站 ,如 浏览 新 闻 .查询 产 
品 价格 、 进 行 证 券 交 易 、 电 子 商务 等 。 

然而 ,许多 用 户 也 许 不 会 想到 ,这 些 常用 的 、 简 单 的 上 网 操作 ,存在 着 严重 的 安全 隐患 。 
例如 ,访问 的 网 页 已 经 被 黑客 自 改 过 ,网 页 上 的 信息 是 虚假 的 。 黑客 很 可 能 将 用 户 要 浏览 的 
网 页 的 URL 改写 为 指向 黑客 自己 的 服务 器 , 当 用 户 浏 览 这 些 网 页 的 时 候 ,实际 上 是 向 黑客 
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服务 器 发 送信 息 ,那么 黑客 就 可 以 轻易 窃取 用 户 的 机 密 信息 ,如 登录 的 账号 和 密码 等 ,从 而 
达到 欺骗 的 目的 。 

4) 电子 邮件 攻击 

电子 邮件 攻击 主要 表现 为 两 种 方式 : 第 一 种 方式 是 电子 邮件 疤 炸 和 电子 邮件 * 滚 雪 
球 ”, 也 就 是 通常 所 说 的 邮件 炸弹 , 指 的 是 用 伪造 的 IP 地 址 和 电子 邮件 地 址 向 同一 信箱 发 送 
数 以 千 计 ,万 计 甚至 无 穷 多 次 的 内 容 相 同 的 垃圾 邮件 ,致使 受害 人 邮箱 被 “ 炸 ”, 严 重 的 可 能 
会 给 电子 邮件 服务 器 操作 系统 带 来 危险 ,甚至 瘫痪 ; 第 二 种 方式 是 电子 邮件 欺骗 ,攻击 者 伴 
称 自己 为 系统 管理 员 ( 邮 件 地址 和 系统 管理 员 完 全 相同 ) ,给 用 户 发 送 邮 件 要 求 用 户 修改 密 
码 (密码 可 能 为 指定 字符 串 ) 或 在 貌似 正常 的 附件 中 加 载 病毒 或 其 他 木马 程序 。 某 些 单位 的 
网 络 管理 员 有 定期 给 用 户 免费 发 送 防 火 墙 升 级 程序 的 责任 ,这 为 黑客 成 功 地 利用 该 方法 提 
供 了 可 乘 之 机 。 

5) 通过 一 个 结 点 来 攻击 其 他 结 点 

黑客 在 攻破 一 台 主 机 后 ,往往 以 此 主机 作为 根据 地 ,继续 攻击 其 他 主机 ,从 而 隐蔽 其 人 
侵 路 径 ,避免 留 下 蛛丝马迹 。 黑 客 往往 使 用 网 络 监听 方法 ,尝试 攻破 同一 网 络 内 的 其 他 主 
机 ; 也 可 以 通过 IP 欺骗 和 主机 信任 关系 ,攻击 其 他 主机 。 这 类 攻击 很 狐 独 ,但 由 于 这 种 技 
术 很 难 掌握 ,如 IP 欺骗 ,因此 较 少 被 黑客 使 用 。 

6) 网 络 监听 

网 络 监 听 是 主机 的 一 种 工作 模式 ,在 这 种 模式 下 ,主机 可 以 接收 到 本 网 段 在 同一 条 物理 
通道 上 传输 的 所 有 信息 ,而 不 管 这 些 信息 的 发 送 方 和 接收 方 是 谁 。 此 时 ,如 果 两 台 主机 进行 
通信 的 信息 没有 加 密 , 只 要 使 用 某 些 网 络 监听 工具 ,就 可 以 轻而易举 地 截取 包括 密码 和 账号 
在 内 的 信息 资料 。 虽 然 网 络 监 听 获 得 的 用 户 账 号 和 密码 具有 一 定 的 局 限 性 ,但 监听 者 往往 
能 够 获得 其 所 在 网 段 的 所 有 用 户 账号 及 密码 。 

7) 寻找 系统 漏洞 

许多 操作 系统 都 有 这 样 那样 的 安全 漏洞 (Bug) ,其 中 某 些 是 操作 系统 或 应 用 软件 本 身 
有 具有 的 ,如 Windows 中 的 共享 目录 密码 验证 漏洞 和 IE 浏览 网 漏洞 等 ,这 些 漏洞 在 补丁 未 被 
开发 出 来 之 前 一 般 很 难 防御 黑客 的 破坏 ,除非 你 将 网 线 拔 掉 ; 还 有 一 些 漏洞 是 由 于 系统 管 
理 员 配置 错误 引起 的 ,如 在 网 络 文件 系统 中 ,将 目录 和 文件 以 可 写 的 方式 调 出 ,将 未 加 
Shadow 的 用 户 密码 文件 以 明码 方式 存放 在 某 一 目录 下 ,这 都 会 给 黑客 带 来 可 乘 之 机 ,应 及 
时 加 以 修正 。 

8) 利用 账号 进行 攻击 

有 些 黑客 会 利用 操作 系统 的 默认 账户 和 密码 进行 攻击 ,例如 许多 UNIX 主机 都 有 FTP 
和 Guest 等 默认 账户 (其 密码 和 账户 名 同名 ), 有 的 甚至 没有 密码 。 黑 客 用 UNIX 操作 系统 
提供 的 命令 如 Finger 和 Ruser 等 收集 信息 ,不断 提高 自己 的 攻击 能 力 。 针 对 这 类 攻击 ,只 
要 系统 管理 员 将 系统 提供 的 默认 账户 关 掉 或 提醒 无 密码 用 户 增加 密码 ,一 般 都 能 克服 。 

9) 获取 特权 

利用 各 种 特洛伊 木马 程序 、 后 门 程序 和 黑客 自己 编写 的 导致 缓冲 区 溢出 的 程序 进行 攻 
击 ,前 者 可 使 黑客 非法 获得 对 用 户 机 器 的 完全 控制 权 , 后 者 可 使 黑客 获得 超级 用 户 的 权限 ， 
从 而 拥有 对 整个 网 络 的 绝对 控制 权 。 这 种 攻击 手段 ,一 旦 奏效 ,危害 性 极 大 。 
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3. 黑客 常用 的 攻击 步骤 


黑客 的 攻击 手段 变幻 莫 测 ,但 纵 观 其 整个 攻击 过 程 ,还 是 有 一 定 规律 可 循 的 ,通常 可 以 
分 为 攻击 前 奏 、 实 施 攻击 、 巩 固 控 制 、 继 续 深 入 等 四 个 步骤 。 

1) 攻击 前 奏 

黑客 锁定 目标 、 了 解 目 标的 网 络 结构 ,收集 各 种 目标 系统 的 信息 等 。 网 络 上 有 许多 主 
机 ,黑客 首先 要 寻找 他 要 攻击 的 网 站 ,锁定 目标 的 IP 地 址 ,黑客 利用 域名 和 IP 地 址 就 可 以 
顺利 地 找到 目标 主机 。 

锁定 要 攻击 的 目标 后 ,黑客 就 会 设法 了 解 其 所 在 的 网 络 结构 ,哪里 是 网 关 、 路 由 器 ,哪里 
有 防火 墙 , 哪 些 主机 与 要 攻击 的 目标 主机 关系 密切 等 ,最 简单 的 就 是 用 tracert 命令 追踪 路 
由 ,也 可 以 发 一 些 数据 包 看 其 是 否 能 通过 ,来 猜测 其 防火 墙 过 滤 规 则 的 设 定 等 。 当 然 经 验 丰 
富 的 黑客 在 探测 目标 主机 信息 的 时 候 ,往往 会 利用 其 他 计算 机 来 间接 地 探测 ,从 而 隐藏 他 们 
真实 的 IP 地 址 。 

在 收集 到 目标 的 第 一 批 网 络 信息 之 后 ,黑客 会 对 网 络 上 的 每 台 主机 进行 全 面 的 系统 分 
析 ,以 寻求 该 主机 的 安全 漏洞 或 安全 弱点 。 首 先 黑客 要 知道 目标 主机 采用 的 是 什么 操作 系 
统 什么 版 本 ,如 果 目 标 开 放 telnet 服务 , 那 只 要 telnet xx. xx. xx. xx. (目标 主机 ) ,就 会 显示 
digitalunlx(xx. xx. xx. xx)(ttypl)login: 这 样 的 系统 信息 。 收 集 系 统 信 息 当 然 少 不 了 安全 
扫描 器 ,黑客 往往 会 利用 安全 扫描 器 来 帮 他 们 发 现 系统 的 各 种 漏洞 ,包括 各 种 系统 服务 漏 
洞 ,应 用 软件 漏洞 , 弱 密 码 用 户 等 。 

接着 黑客 还 会 检查 其 开放 端口 进行 服务 分 析 , 看 是 否 有 能 被 利用 的 服务 。 因 特 网 上 的 
主机 大 部 分 都 开放 www mail ,ftp telnet 等 日 常 网 络 服务 ,通常 情况 下 telnet 服务 的 端口 
是 23 等 ,www 服务 的 端口 是 80,ftp 服务 的 端口 是 23。 利 用 信息 服务 , 像 snmp 服务 、 
traceroute 程序 ,whois 服务 可 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目 标 主 机 所 在 
网 络 的 拓扑 结构 及 其 内 部 细节 ,traceroute 程序 能 够 用 该 程序 获得 到 达 目 标 主 机 所 要 经 过 
的 网 络 数 和 路 由 器 数 ,whois 协议 服务 能 提供 所 有 有 关 的 dns 域 和 相关 的 管理 参数 ,finger 
协议 可 以 用 finger 服务 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 用 户 注册 名 、 电 话 
号 码 、 最 后 注册 时 间 以 及 他 们 有 没有 读 邮件 等 等 )。 所 以 如 果 没 有 特殊 的 需要 ,管理 员 应 该 
关闭 这 些 服 务 。 

2) 实施 攻击 

当 黑 客 收集 到 了 足够 的 目标 主机 的 信息 ,对 系统 的 安全 弱点 有 一 定 的 了 解 后 就 会 发 起 
攻击 。 当 然 , 黑 客 们 会 根据 不 同 的 网 络 结构 ,不同 的 系统 情况 而 采用 不 同 的 攻击 手段 。 黑 客 
攻击 的 最 终 目的 是 能 够 控制 目标 系统 ,窃取 其 中 的 机 密 文件 等 。 但 是 ,黑客 的 攻击 未 必 能 够 
得 退 ,达到 控制 目标 主机 的 目的 。 因 此 ,有 时 黑客 也 会 发 动 拒绝 服务 攻击 之 类 的 干扰 攻击 ， 
使 系统 不 能 正常 工作 ,其 至 瘫痪 。 

3) 巩固 控制 

黑客 利用 种 种 手段 进入 目标 主机 系统 并 获得 控制 权 之 后 ,未 必 会 立即 进行 破坏 活动 , 删 
除数 据 ` 涂 改 网 页 等 ,这 是 黑客 新 手 的 行为 。 一 般 来 说 ,入侵 成 功 后 ,黑客 为 了 能 长 期 地 保留 
和 巩固 他 对 系统 的 控制 权 , 不 被 管理 员 发 现 .他 都 会 做 两 件 事 : 清除 记录 和 留 下 后 门 。 日 志 
往往 会 记录 上 一 些 黑客 攻击 的 蛛丝马迹 ,黑客 当然 不 会 留 下 这 些 “ 犯 罪证 据 ”, 他 会 把 它 删 了 
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或 用 假日 志 覆 盖 它 ,以 便 日 后 不 被 觉察 地 再 次 进入 系统 。 黑 客 还 会 更 改 某 些 系统 设置 ,在 系 
统 中 置 和 人 特洛伊 木马 或 其 他 一 些 远程 操纵 程序 。 

4) 继续 深入 

使 用 清除 日 志 、 删 除 复制 的 文件 等 手段 来 隐藏 自己 的 踪迹 之 后 ,攻击 者 通常 就 会 采取 下 
一 步 的 行动 ,窃取 主机 上 的 各 种 敏感 信息 : 如 客户 名 单 和 通信 录 、 财 务 报表 信用卡 账号 和 
密码 、 用 户 的 相片 等 ,也 可 能 是 什么 都 不 动 , 只 是 把 用 户 的 系统 作为 他 存放 黑客 程序 或 资料 
的 仓库 ,黑客 也 可 能 会 利用 这 台 已 经 攻陷 的 主机 去 继续 他 下 一 步 的 攻击 ,如 : 继续 入 侵 内 部 
网 络 , 或 者 利用 这 台 主 机 发 动 DoS 攻击 使 网 络 瘫痪 。 

网 络 世界 瞬息 万 变 , 黑 客 们 各 有 不 同 ,他们 的 攻击 流程 也 不 会 完全 相同 ,以 上 提 到 的 攻 
击 步骤 是 概括 而 言 的 ,是 绝 大 部 分 黑客 一 般 情况 下 采用 的 攻击 步骤 。 


4. 防范 黑客 攻击 的 对 策 


黑客 对 服务 器 进行 扫描 是 轻而易举 的 ,一 旦 让 黑客 找到 了 服务 器 存在 的 漏洞 , 则 其 后 果 
是 非常 严重 的 。 因 此 ,作为 网 络 管理 员 应 该 采取 必要 的 技术 手段 ,防范 黑客 对 服务 器 进行 攻 
击 。 以 下 介绍 针对 黑客 各 种 不 同 的 攻击 行为 ,网 络 管理 员 应 当 采 取 的 防御 对 策 。 

1) 屏蔽 可 疑 的 IP 地 址 

这 种 方法 见效 最 快 ,一 旦 网 络 管理 员 发 现 了 可 疑 的 IP 地 址 ,可 以 通过 防火 墙 屏 蔽 相应 
的 IP 地 址 ,这样 黑客 就 无 法 再 连接 到 服务 器 上 了 。 但 是 这 种 方法 有 很 多 缺点 ,例如 很 多 黑 
客 都 使 用 的 动态 IP, 也 就 是 说 他 们 的 IP 地 址 会 变化 ,一 个 地 址 被 屏蔽 ,只 要 更 换 其 他 IP 仍 
然 可 以 进攻 服务 器 ,而 且 某 些 黑客 有 可 能 伪造 IP 地 址 ,使 屏蔽 IP 地 址 无 法 奏效 。 

2) 过 滤 信 息 包 

网 络 管 理 员 可 以 通过 编写 防火 墙 规则 ,让 系统 知道 什么 样 的 信息 包 人 允许 进入 、 什 么 样 的 
信息 包 应 该 放弃 ,如 此 一 来 , 当 黑 客 发 送 有 攻击 性 信息 包 经 过 防火 墙 时 ,信息 包 就 会 被 丢弃 
掉 , 从 而 防止 了 黑客 的 攻击 。 但 是 这 种 做 法 仍然 有 不 足 之 处 ,例如 黑客 可 以 修改 攻击 性 代码 
的 方式 ,使 防火 墙 分 辨 不 出 信息 包 的 真 假 ; 或 者 黑客 干脆 无 休止 的 ,大 量 地 发 送信 息 包 , 直 
到 服务 器 不 堪 重负 而 造成 系统 崩溃 。 

3) 修改 系统 协议 

对 于 漏洞 扫描 ,网 络 管理 员 可 以 修改 服务 器 的 相应 协议 来 进行 防御 。 例 如 ,漏洞 扫描 是 
根据 对 文件 扫描 的 返回 值 来 判断 文件 是 否 存 在 的 。 在 正常 情况 下 ,如 果 返 回 值 是 200, 则 表 
示 服 务 器 存在 这 个 文件 ; 如 果 返 回 值 是 404, 则 表明 服务 器 上 没有 这 个 的 文件 。 假 如 网 络 管 
理 员 修改 了 返回 文件 返回 值 ,那么 黑客 就 无 法 通过 漏洞 扫描 检测 文件 是 否 存在 了 。 

4) 修补 安全 漏洞 

任何 一 个 版 本 的 操作 系统 发 布 之 后 ,在 短 时 间 内 都 不 会 受到 攻击 ,一旦 其 中 的 问题 暴露 
出 来 ,黑客 就 会 蜂拥 而 至 。 因 此 管理 员 在 维护 系统 的 时 候 , 可 以 经 常 浏览 著名 的 安全 站 点 ， 
找到 系统 的 新 版 本 或 者 补丁 程序 进行 安装 ,这 样 就 可 以 保证 系统 中 的 安全 漏洞 在 没有 被 黑 
客 发 现 之 前 ,就 已 经 修补 上 了 ,从 而 保证 了 服务 器 的 安全 。 

5) 及 时 备份 重要 数据 

亡羊补牢 , 犹 未 为 晚 。 如 果 及 时 做 好 了 数据 备份 ,即便 系统 遭 到 黑客 进攻 ,也 可 以 在 短 
时 间 内 修复 ,挽回 不 必要 的 经 济 损失 。 许 多 大 型 网 站 ,都 会 在 每 天 晚上 对 系统 数据 库 进行 备 
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份 ,在 次 日 清晨 ,无 论 系统 是 否 受到 攻击 ,都 会 重新 恢复 数据 ,保证 每 天 系统 中 的 数据 库 都 不 会 
出 现 损坏 。 备 份 的 数据 库 文件 最 好 存放 到 其 他 电脑 的 硬盘 或 者 磁带 上 ,这 样 黑客 进入 服务 器 
之 后 ,破坏 的 数据 只 是 一 部 分 ,因为 无 法 找到 数据 的 备份 ,对 于 服务 器 的 损失 也 不 会 太 严重 。 

一 旦 受到 黑客 攻击 ,网 络 管理 员 不 要 仅仅 设法 恢复 损坏 的 数据 ,还 要 及 时 分 析 黑 客 的 来 
源 和 攻击 方法 ,尽快 修补 被 黑客 利用 的 漏洞 ,然后 检查 系统 中 是 否 被 黑客 安装 了 木马 ,蠕虫 
或 者 被 黑客 开放 了 的 某 些 管理 员 账 号 ,尽量 将 黑客 留 下 的 各 种 蛛丝马迹 和 后 门 分 析 、 清 除 干 
净 , 防 止 黑客 的 下 一 次 攻击 。 

6) 使 用 加 密 机 制 传输 数据 

对 于 个 人 信用 卡 、 密 码 等 重要 数据 ,在 客户 端 与 服务 器 之 间 的 传送 ,应 该 事先 经 过 加 密 
处 理 再 进行 发 送 ,这 样 做 的 目的 是 防止 黑客 监听 截获 。 对 于 现在 网 络 上 流行 的 各 种 加 密 机 
制 , 都 已 经 出 现 了 不 同 的 破解 方法 ,因此 在 加 密 的 选择 上 应 该 寻找 破解 困难 的 ,例如 DES 加 
密 方法 ,这 是 一 套 没有 逆向 破解 的 加 密 算 法 ,因此 黑客 得 到 了 这 种 加 密 处 理 后 的 文件 时 ,只 
能 采取 暴力 破解 法 。 个 人 用 户 如 果 设置 了 一 个 复杂 的 密码 ,那么 黑客 的 破解 工作 将 会 非常 
艰巨 。 

7) 安装 安全 软件 

网 络 管理 员 应 在 服务 器 安装 必要 的 安全 软件 ,杀毒 软件 和 防火 墙 都 是 必 不 可 少 的 。 在 
连接 网 络 之 前 ,事先 运行 这 些 安全 软件 ,即使 遭遇 黑客 的 攻击 , 物 联 网 系统 也 具有 较 强 的 防 
御 能 力 。 


5.1.5 计算 机 病毒 的 防护 
1. 计算 机 病毒 的 概念 


计算 机 病毒 是 编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 网 络 功能 或 者 数据 的 代码 ,能 
影响 计算 机 网 络 的 使 用 ,能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

计算 机 病毒 具有 传染 性 、 繁 殖 性 、 潜 伏 性 、 隐 蔽 性 、 可 触发 性 和 破坏 性 等 特征 。 计 算 机 病 
毒 的 生命 周期 包括 : 开发 期 一 传染 期 一 潜伏 期 一 发 作 期 一 发 现 期 一 消化 期 一 消亡 期 。 

计算 机 病毒 是 一 个 程序 ,或 一 段 可 执行 的 代码 。 就 像 生物 病毒 一 样 ,具有 自我 繁殖 、 互 
相传 染 以 及 激活 再 生 等 生物 病毒 特征 。 计 算 机 病毒 有 独特 的 复制 能 力 , 它 们 能 够 通过 计算 
机 网 络 快速 蔓延 ,又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 文件 上 , 当 文 件 被 复制 
或 通过 网 络 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓延 开 来 。 

计算 机 病毒 与 医学 上 的 “病毒 "不 同 ,计算 机 病毒 不 是 天 然 存在 的 ,而 是 程序 员 利 用 计算 
机 网 络 软 件 和 硬件 所 固有 的 脆弱 性 编制 的 一 组 指令 集 或 程序 代码 。 它 能 潜伏 在 计算 机 的 存 
储 介质 (或 程序 ) 里 ,条 件 满足 时 即 被 激活 ,通过 修改 其 他 程序 的 方法 将 病毒 代码 的 精确 复制 
或 者 可 能 演化 的 形式 放 入 其 他 程序 中 。 从 而 感染 其 他 计算 机 程序 ,对 计算 机 资源 进行 破坏 。 
因此 ,计算 机 病毒 是 人 为 编写 的 恶意 程序 ,对 其 他 网 络 用 户 的 危害 性 极 大 。 


2. 计算 机 病毒 的 特征 


1) 传染 性 
计算 机 病毒 传染 性 是 指 计算 机 病毒 通过 修改 别 的 程序 将 自身 的 复制 品 或 其 变 体 传染 到 
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其 他 无 毒 的 对 象 上 ,这 些 对 象 可 以 是 一 个 程序 也 可 以 是 系统 中 的 某 一 个 部 件 。 

2) 繁殖 性 

计算 机 病毒 可 以 像 生物 病毒 一 样 进行 繁殖 , 当 正 常 程序 运行 时 , 它 也 进行 自身 复制 ,是 
否 具 有 繁殖 ,感染 的 特征 是 判断 某 段 程序 为 计算 机 病毒 的 首要 条 件 。 

3) 潜伏 性 

计算 机 病毒 的 潜伏 性 是 指 计算 机 病毒 可 以 依附 于 其 他 媒体 寄生 的 能 力 , 侵 入 后 的 病毒 
潜伏 到 条 件 成 熟 才 发 作 , 会 使 计算 机 变 慢 。 

4) 隐蔽 性 

某 些 计 算 机 病毒 具有 很 强 的 隐蔽 性 ,不 容易 被 反 病毒 软件 检查 出 来 ,隐蔽 性 计算 机 病毒 
时 隐 时 现 ,变化 无 常 ,这 类 病毒 处 理 起 来 非常 困难 。 

5) 可 触发 性 

编制 计算 机 病毒 的 人 ,一 般 都 为 病毒 程序 设 定 了 一 些 触 发 条 件 , 例 如 ,系统 时 钟 到 达 某 
个 特定 的 日 期 ,或 者 系统 运行 了 某 个 特定 的 程序 等 。 一 旦 触发 条 件 满足 ,计算 机 病毒 就 会 
“发 作 ”, 对 系统 进行 破坏 。 

6) 破坏 性 

计算 机 病毒 发 作 时 ,会 对 计算 机 的 软件 或 硬件 进行 破坏 。 例 如 ,可 能 会 导致 正常 的 程序 
无 法 运行 ,也 可 能 把 计算 机 内 的 重要 文件 删除 或 自 改 ,甚至 可 能 会 破坏 硬盘 中 的 引导 肩 区 、 
破坏 BIOS, 使 计算 机 无 法 正常 工作 。 


3. 计算 机 病毒 的 分 类 


计算 机 病毒 种 类 繁多 而 且 复 杂 , 按 照 不 同 的 方式 以 及 计算 机 病毒 的 特点 及 特性 ,可 以 有 
多 种 不 同 的 分 类 方法 。 同 时 ,根据 不 同 的 分 类 方法 ,同一 种 计算 机 病毒 也 可 以 属于 不 同 的 计 
算 机 病毒 种 类 。 

1) 根据 计算 机 病毒 寄存 的 媒体 来 分 类 

根据 计算 机 病毒 寄存 的 媒体 来 分 类 ,可 分 为 网 络 病毒 .文件 病毒 和 引导 型 病毒 三 类 。 

(1) 网 络 病毒 : 网 络 病毒 通过 计算 机 网 络 传播 ,感染 网 络 中 的 可 执行 文件 。 

(2) 文件 病毒 : 文件 病毒 感染 计算 机 系统 中 的 文件 (如 COM、EXE、DOC 等 ) 。 

(3) 引导 型 病毒 : 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR ) 。 

此 外 ,还 有 以 上 三 种 病毒 的 混合 型 病毒 ,例如 : 多 型 病毒 (文件 和 引导 型 ) 同 时 感染 文件 
和 引导 扇 区 两 种 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 .它们 使 用 非常 规 的 办 法 侵入 系 
统 , 同 时 使 用 了 加 密 和 变形 算法 。 

2) 根据 病毒 传染 渠道 来 分 类 

根据 病毒 传染 渠道 来 划分 ,可 以 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 两 类 。 

(1) 驻 留 型 病毒 : 这 种 病毒 感染 计算 机 后 ,把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAMD) 中 ,这 
一 部 分 程序 挂 接 系统 调用 并 合并 到 操作 系统 中 去 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 

(2) 非 驻 留 型 病毒 : 这 种 病毒 在 得 到 机 会 激活 时 并 不 感染 计算 机 内 存 , 一 些 病毒 在 内 
存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 病毒 也 被 划分 为 非 驻 留 型 病毒 。 

3) 根据 病毒 的 破坏 能 力 来 分 类 

根据 病毒 的 破坏 能 力 可 以 分 为 无 害 型 病毒 .无 危险 型 病毒 .危险 型 病毒 和 非常 危险 型 病 


147 


NA 


148 


SN 


物 联 网 安全 技术 


毒 四 大 类 。 

(1) 无 害 型 病毒 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

(2) 无 危险 型 病毒 : 这 类 病毒 仅仅 是 减少 内 存 . 显 示 图 像 .发 出 声音 及 同类 影响 。 

(3) 危险 型 病毒 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 病毒 : 这 类 病毒 删除 程序 、 破 坏 数 据 、 清 除 系统 内 存 区 和 操作 系统 中 重 
要 的 信息 。 

4) 根据 计算 机 病毒 所 使 用 的 算法 来 分 类 

根据 计算 机 病毒 所 使 用 的 算法 来 划分 ,可 以 分 为 伴随 型 病毒 “蠕虫 ?型 病毒 .寄生 型 病 
毒 、 练 习 型 病毒 ,诡秘 型 病毒 和 变型 病毒 等 类 型 。 

(1) 伴随 型 病毒 : 这 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM) ,例如 , XCOPY. EXE 的 伴随 体 是 XCOPY- 
COM。 病 毒 把 自身 写 人 COM 文件 并 不 改变 EXE 文件 , 当 DOS 加 载 文件 时 ,伴随 体 优 先 被 
执行 到 ,再 由 伴随 体 加 载 执行 原来 的 EXE 文件 。 

(2)“ 蠕 虫 " 型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 
器 的 内 存 传 播 到 其 他 机 器 的 内 存 ,计算机 将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 也 会 在 系 
统 中 存在 ,一 般 来 说 ,除了 内 存 以 外 ,“ 蠕 虫 ”型 病毒 不 占用 其 他 资源 。 

(3) 寄生 型 病毒 : 除了 伴随 和 “蠕虫 "型 ,其 他 病毒 均 可 称 为 寄生 型 病毒 ,它们 依附 在 系 
统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 。 

(4) 练习 型 病毒 : 病毒 自身 包含 错误 ,不 能 进行 很 好 的 传播 ,例如 一 些 病毒 只 在 调试 
阶段 。 

(5) 诡秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文 
件 缓冲 区 等 对 DOS 内 部 进行 修改 ,不 易 看 到 资源 ,使 用 比较 高 级 的 技术 。 利 用 DOS 空闲 的 
数据 区 进行 工作 。 

(6) 变型 病毒 : 又 称 为 幽灵 病毒 ,这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 
都 具有 不 同 的 内 容 和 长 度 。 它 们 一 般 的 做 法 是 一 段 混 有 无 关 指 令 的 解码 算法 和 被 变化 过 的 
病毒 体 组 成 。 


4. 计算 机 病毒 的 防治 


任何 计算 机 病毒 都 会 对 物 联 网 系统 构成 威胁 ,但 只 要 培养 良好 的 预防 病毒 意识 ,并 充分 
发 挥 杀毒 软件 的 防护 能 力 ,完全 可 以 将 大 部 分 病毒 拒 之 门 外 。 

为 了 保证 物 联 网 的 正常 运行 ,阻止 计算 机 病毒 或 者 流氓 软件 入 侵 物 联 网 系统 , 物 联 网 用 
户 应 当 采 取 以 下 防御 措施 : 

1) 不 要 随便 浏览 陌生 的 网 站 

物 联 网 用 户 不 要 随便 浏览 陌生 的 网 站 ,目前 在 许多 钓鱼 式 网 站 中 ,存在 有 各 种 各 样 的 恶 
意 代 码 , 这 些 亚 意 代码 会 危害 浏览 者 电脑 的 安全 。 

2) 安装 杀毒 软件 

安装 最 新 版 本 的 杀毒 软件 .可 以 防范 大 多 数 病 毒 的 攻击 。 值 得 注意 的 是 , 物 联 网 用 户 还 
要 及 时 对 杀毒 软件 进行 升级 ,不 断 更 新 病毒 资料 库 , 以 加 强 物 联网 系统 的 防御 能 力 。 
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3) 安装 防火 墙 

有 些 物 联网 用 户 过 于 乐观 ,认为 只 要 安装 了 杀毒 软件 , 物 联网 就 可 以 安 忱 无 优 了 。 但 是 
实际 上 ,安装 杀毒 软件 并 不 能 确保 系统 绝对 安全 。 目 前 ,除了 计算 机 病毒 , 物 联网 网 络 还 可 
能 面临 黑客 攻击 、 木 马 攻 击 以 及 间谍 软件 攻击 等 多 种 安全 威胁 。 因 此 , 物 联网 系统 还 要 安装 
防火 墙 。 

正如 本 章 5. 1. 2 小 节 所 述 , 防 火 墙 是 根据 检查 经 过 网 络 的 数据 包 来 进行 监控 的 ,通俗 地 
说 ,防火 墙 就 相当 于 一 个 严格 的 门卫 ,守护 着 物 联网 系统 的 大 门 。 防 火 墙 可 以 把 物 联网 系统 


4) 及 时 安装 系统 漏洞 补丁 

有 经 验 的 网 络 管理 员 都 会 及 时 运行 Windows 系统 自 带 的 Windows Update 程序 或 杀 
毒 软件 自 带 的 漏洞 扫描 和 补丁 修复 程序 ,在 线 更 新 操作 系统 。 系 统 安全 漏洞 扫描 工具 会 及 
时 发 现 操作 系统 存在 的 安全 漏洞 ,并 自动 下 载 和 安装 相应 的 漏洞 补丁 程序 。 

5) 不 要 轻易 打开 陌生 的 电子 邮件 附件 

目前 ,电子 邮件 病毒 也 十 分 猩 狂 。 因 此 ,用 户 在 接收 电子 邮件 时 也 应 当 非 常 小 心 , 千 万 
不 要 轻易 打开 陌生 的 电子 邮件 的 附件 ,更 不 要 随便 回复 陌生 人 的 邮件 。 当 收 到 电子 邮件 时 ， 
应 首先 用 杀毒 软件 对 电子 邮件 附件 进行 病毒 扫描 ,以 策 安全 。 

6) 使 用 UU 盘 时 要 先 杀 毒 

除了 计算 机 网 络 以 外 ,U 盘 也 是 传播 计算 机 病毒 的 主要 途径 。 别 人 的 计算 机 已 经 感染 
了 计算 机 病毒 , 当 用 U 盘 从 这 台 计 算 机 复制 文件 时 ,就 很 可 能 也 感染 病毒 。 因 此 ,使 用 U 盘 
复制 外 来 的 文件 时 都 要 先进 行 杀毒 ,以 防 U 盘 携带 病毒 传染 计算 机 。 

7) 对 下 载 的 文件 进行 杀 病 毒 

从 网 络 上 下 载 的 文件 虽然 方便 ,但 也 潜伏 着 危机 。 因 此 ,用 户 从 网 络 上 下 载 了 任何 文件 
之 后 ,一 定 要 先 对 文件 进行 病毒 扫描 ,确认 无 病毒 之 后 才 运 行 。 

8) 及 时 备份 

备份 是 一 种 有 效 的 防护 措施 ,用 户 对 于 重要 的 文件 一 定 要 做 及 时 做 好 备份 ,以 免 系统 遭 
到 病毒 破坏 后 不 能 恢复 ,造成 不 必要 的 损失 。 对 于 已 经 感染 病毒 的 计算 机 ,可 以 下 载 最 新 的 
杀毒 软件 进行 清除 。 目 前 ,国内 常见 的 杀毒 软件 都 终身 免费 ,如 金山 毒霸 、. 江 民 杀 毒 .瑞星 杀 
毒 和 360 杀毒 等 。 


5.1.6 入 侵 检 测 技术 


1. 入 侵 检 测 技术 概述 


入侵 检 测 技术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系 
统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 。 
进行 人 侵 检测 的 软件 与 硬件 相 结 合 , 便 构成 人 侵 检 测 系统 (Intrusion Detection System， 
IDS) 。 

入 侵 检测 系统 可 以 被 定义 为 对 计算 机 和 网 络 资源 的 恶意 使 用 行为 进行 识别 和 相应 处 理 
的 系统 。 包 括 系统 外 部 的 人 侵 和 内 部 用 户 的 非 授权 行为 ,是 为 保证 计算 机 系统 的 安全 而 设 
计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计 
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算 机 网 络 中 违反 安全 策略 行为 的 技术 。 

入 侵 检测 的 内 容 包括 : 试图 闻 入 、 成 功 交 入、 冒充 其 他 用 户 、 违 反 安 全 策略 、 合 法 用 户 信 
息 的 泄漏 ,独占 资源 以 及 恶意 使 用 。 进 行人 侵 检测 的 硬件 与 软件 的 整体 便 是 入 侵 检 测 系统 。 
它 通过 从 计算 机 网 络 或 计算 机 系统 的 关键 点 收集 信息 并 进行 分 析 , 发 现 计算 机 网 络 或 计算 
机 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ,并 且 针 对 攻击 行为 作出 反应 。 

入 侵 检测 被 认为 是 企业 网 除了 防火 墙 技术 之 外 另 一 道 安全 闸门 , 它 提 供 对 内 部 攻击 、 外 
部 攻击 和 误 操 作 的 实时 保护 。 这 些 都 可 以 通过 以 下 方法 来 实现 : 

(1) 监视 ,分 析 用 户 及 系统 活动 ,防止 非法 用 户 和 合法 用 户 的 越权 操作 ; 

(2) 系统 构造 和 弱点 的 审计 ,提示 管理 员 及 时 修补 安全 漏洞 ; 

(3) 识别 反映 已 知 进攻 的 活动 模式 并 向 管理 员 报警 ; 

(4) 异常 行为 模式 的 统计 分 析 ,发 现 人 侵 行为 的 规律 ; 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 ; 

(6) 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 


2. 入 侵 检测 的 过 程 


入 侵 检测 的 过 程 可 以 分 为 三 个 步骤 : 信息 收集 .信息 分 析 和 结果 处 理 。 

1) 信息 收集 

入 侵 检测 的 第 一 步 是 信息 收集 ,收集 内 容 包括 系统 、 网 络 .数据 及 用 户 活 动 的 状态 和 行 
为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 收集 信息 ,包括 系统 和 网 络 日 志文 件 、 
网 络 流量 、 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 。 

2) 信息 分 析 

收集 到 的 有 关系 统 、 网 络 数据 及 用 户 活动 的 状态 和 行为 等 信息 ,被 送 到 检测 引擎 ,检测 
引擎 驻 留 在 传感器 中 ,一 般 通 过 三 种 技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 完整 性 分 
析 。 当 检测 到 某 种 误 用 模式 时 ,产生 一 个 告警 并 发 送 给 控制 台 

3) 结果 处 理 

控制 台 按照 告警 产生 预先 定义 的 响应 采取 相应 措施 ,相应 措施 可 以 是 重新 配置 路 由 器 
或 防火 墙 、. 终 止 进程 .切断 连接 ,改变 文件 属性 ,也 可 以 只 是 简单 的 告警 。 


3. 入 侵 检测 系统 的 结构 
一 个 典型 的 入侵 检测 系统 的 结构 如 图 5-4 所 示 。 


活动 
数据 尖 | 探测 加 操作 员 
1 
于 一 事件 | 1 
探测 器 事件 
ee 
| -| 分 析 器 | 警报 
安全 策略 | 
管理 员 
管理 员 


图 5-4 入 侵 检 测 系统 的 结构 
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1) 数据 源 

数据 源 为 人 侵 检 测 系 统 提供 最 初 的 数据 来 源 , 系 统 利 用 这 些 数据 来 检测 入 侵 。 数 据 源 
包括 网 络 包 、 审 计 日 志 、 系 统 日 志和 应 用 程序 日 志 等 。 

2) 探测 器 

探测 器 从 数据 源 提取 出 与 安全 相关 的 数据 和 活动 ,例如 非法 的 网 络 连 接 或 用 户 的 越权 
访问 等 ,并 将 这 些 数据 传送 给 分 析 器 作 进 一 步 的 分 析 。 

3) 分 析 器 

分 析 器 的 职责 是 对 探测 器 送 来 的 数据 进行 分 析 , 如 果 发 现 未 授权 或 非法 行为 ,就 产生 警 
报 并 报告 给 管理 器 。 

4) 管理 器 

管理 器 是 入 侵 检 测 系统 的 管理 部 件 , 其 主要 功能 是 配置 探测 器 、 分 析 器 ; 通知 管理 员 发 
生 了 入 侵 ; 采取 应 对 措施 等 。 管 理 器 接收 到 分 析 器 的 警报 后 , 便 通 知 管理 员 并 报告 情况 , 通 
知 的 方式 有 声音 、. 电 子 邮 件 等 。 同 时 管理 器 还 可 以 主动 地 采取 应 对 措施 ,例如 结束 进程 、 切 
断 连接 、 改 变 文件 和 网 络 的 访问 权 等 。 管 理 员 利用 管理 器 来 管理 入侵 检测 系统 ,并 根据 管理 
器 的 报告 采取 进一步 的 措施 。 

5) 管理 员 

管理 员 是 网 络 和 计算 机 系统 的 管理 者 ,负责 制定 安全 策略 和 部 署 入 侵 检测 系统 。 

6) 安全 策略 

安全 策略 是 预先 定义 的 一 些 规则 ,这 些 规则 规定 了 网 络 中 哪些 活动 允许 执行 和 哪些 主 
机 可 以 访问 内 部 网 络 等 。 安 全 策略 通过 应 用 到 探测 器 、 分 析 器 和 管理 器 上 来 发 挥 作用 。 


4. 入 侵 检测 技术 的 分 类 


入 侵 检 测 技术 可 以 分 为 异常 检测 和 误 用 检测 两 大 类 。 

1) 异常 检测 (Anomaly Detection) 

异常 检测 技术 能 够 检测 出 可 接受 行为 与 不 可 接受 行为 之 间 的 偏差 。 如 果 可 以 定义 每 项 
可 接受 的 行为 ,那么 每 项 不 可 接受 的 行为 就 应 该 是 入 侵 。 首 先 总 结 正常 操作 应 该 具有 的 特 
征 ( 用 户 轮 廓 ), 当 用 户 活动 与 正常 行为 有 重大 偏离 时 即 被 认为 是 入 侵 。 这 种 检测 模型 漏 报 
率 低 , 误 报 率 高 。 因 为 不 需要 对 每 种 人 侵 行为 进行 定义 ,所 以 能 有 效 检测 未 知 的 入 侵 。 

2) 误 用 检测 (Misuse Detection) 

误 用 检测 技术 能 够 检测 用 户 行为 与 已 知 的 不 可 接受 行为 之 间 的 匹配 程度 。 如 果 可 以 定 
义 所 有 的 不 可 接受 行为 ,那么 每 种 能 够 与 之 匹配 的 行为 都 会 引起 告警 。 这 种 技术 事先 收集 
不 正常 的 操作 行为 的 特征 ,建立 不 可 接受 行为 特征 库 。 当 监测 的 用 户 或 系统 行为 与 库 中 的 
记录 相 匹 配 时 ,系统 就 认为 这 种 行为 是 入 侵 。 这 种 检测 模型 误 报 率 比较 低 , 但 是 漏 报 率 比较 
高 。 对 于 已 知 的 攻击 行为 , 它 可 以 详细 、 准 确 地 检测 到 攻击 ,但 是 对 未 知 攻击 却 效果 有 限 ,而 
且 不 可 接受 行为 特征 库 必 须 不 断 更 新 。 


5. 入 侵 检测 方法 


常用 的 人 侵 检 测 系统 检测 方法 有 特征 检测 、 统 计 检测 和 专家 系统 。 目 前 ,大 多 数 入 侵 检 
测 系统 都 采用 人 侵 模 板 进行 模式 匹配 的 特征 检测 系统 ,有 些 采 用 基于 统计 模型 的 人 侵 检测 
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系统 ,有 些 采 用 基于 日 志 的 专家 知识 库 系统 。 除 此 以 外 ,还 有 基于 内 核 的 入 侵 检测 系统 、 基 
于 免疫 系统 的 人 侵 检 测 系统 、 基 于 遗传 算法 的 人 侵 检 测 系统 、 蜜 锥 和 蜜 网 等 。 

1) 基于 特征 检测 的 入侵 检测 系统 

特征 检测 系统 对 已 知 的 攻击 或 人 侵 的 方式 作出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 
当 被 审计 的 事件 与 已 知 的 人 侵 事件 模式 相 匹 配 时 ,立即 报警 。 其 工作 原理 与 专家 系统 相似 ， 
检测 方法 与 计算 机 病毒 的 检测 方式 相似 。 该 方法 检测 的 准确 率 比较 高 ,但 对 于 无 经 验 知识 
的 入 侵 和 攻击 行为 无 能 为 力 。 

2) 基于 统计 模型 的 人 侵 检测 系统 

统计 模型 常用 于 异常 检测 。 在 统计 模型 中 ,常用 的 检测 参数 包括 : 审计 事件 的 数量 、 间 
隔 时 间 和 资源 消耗 的 情况 等 。 常 用 的 入 侵 检测 的 统计 模型 包括 : 马尔 科 夫 过 程 模型 和 时 间 
序列 分 析 模 型 。 这 种 入 侵 检 测 方法 是 基于 对 用 户 历史 行为 建 模 以 及 在 早期 的 证 据 及 模型 的 
基础 上 ,审计 系统 实时 检测 用 户 对 系统 的 使 用 情况 ,根据 系统 内 部 保存 的 用 户 行为 概率 统计 
模型 进行 检测 ,一 旦 发 现 有 可 疑 的 用 户 行为 时 ,就 会 保持 跟踪 并 监测 .记录 该 用 户 的 行为 。 

统计 方法 的 最 大 优点 是 它 可 以 "学习 "用 户 的 使 用 习惯 ,从 而 具有 较 高 检 出 率 和 可 用 性 。 
然而 它 的 "学 习 ? 能 力也 给 了 入 侵 者 机 会 ,入 侵 者 可 以 通过 “训练 ”使 人 侵 事件 符合 正常 操作 
的 统计 规律 ,从 而 达到 入 侵 的 目的 。 

3) 基于 专家 知识 库 的 人 侵 检测 系统 

专家 知识 库 系 统 对 和 人 侵 进行 检测 ,经 常 是 针对 具有 某 种 特征 的 入 侵 行为 。 这 种 检测 技 
术 根 据 安全 专家 对 可 疑 行为 的 分 析 经 验 形成 一 套 推 理 规则 ,然后 在 此 基础 上 建立 相应 的 专 
家 知识 库 系 统 。 据 此 ,专家 系统 自动 对 所 涉及 的 和 人 侵 行为 进行 分 析 。 并 且 , 专 家 知识 库 系统 
能 够 随 着 经 验 的 积累 而 利用 其 自学 能 力 进行 规则 的 补充 及 修正 。 

在 专家 知识 库 系 统 中 ,所 谓 的 规则 即 是 知识 ,不 同 的 系统 与 设置 具有 不 同 的 规则 ,而 且 
规则 之 间 没 有 通用 性 。 专 家 系统 的 建立 依赖 于 知识 库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 
审计 记录 的 完备 性 和 实时 性 。 入 侵 的 特征 抽取 和 表达 是 入 侵 检 测 专 家 系统 的 关键 。 

4) 基于 内 核 的 人 侵 检测 系统 

随 着 开放 源 代码 的 操作 系统 Linux 的 流行 ,基于 内 核 的 入 侵 检测 成 为 检测 领域 的 新 方 
法 。 这 种 方法 的 核心 是 从 操作 系统 的 层次 上 看 待 安 全 漏洞 ,采取 措施 避免 甚至 杜绝 安全 隐 
患 。 这 种 方法 主要 是 通过 修改 操作 系统 源 代码 或 者 向 内 核 中 加 入 安全 模块 来 实现 的 ,可 以 
保护 重要 的 系统 文件 和 进程 。 

5) 基于 免疫 系统 的 人 侵 检测 系统 

与 生物 学 中 的 免疫 系统 类 似 , 基 于 免疫 系统 的 人 侵 检 测 系统 是 保护 生命 机 体 不 受 病原 
体 侵 害 的 系统 , 它 对 病原 体 和 非 自 身 组 织 的 检测 相当 准确 。 不 但 能 够 记忆 曾经 感染 过 的 病 
原 体 的 特征 ,还 能 够 有 效 地 检测 未 知 的 病原 体 。 免 疫 系统 具有 分 层 保护 分布 式 检测 各 部 
分 相互 独立 和 检测 未 知 病原 体 的 特性 ,这 些 都 是 计算 机 信息 安全 系统 所 缺乏 和 迫切 需要 的 。 

免疫 系统 最 重要 的 能 力 是 识别 自我 和 非 我 的 能 力 , 这 个 概念 与 人 侵 检 测 技术 中 的 异常 
检测 的 概念 很 相似 。 因 此 ,有 些 学 者 从 免疫 学 的 角度 对 入 侵 检测 系统 进行 研究 。 

6) 基于 遗传 算法 的 人 侵 检测 系统 

遗传 算法 是 进化 算法 的 一 种 , 它 引 入 了 达尔 文 在 进化 论 里 提出 的 自然 选择 概念 ,对 入 侵 
检测 系统 进行 优化 。 遗 传 算法 利用 对 “染色 体 ” 的 编码 和 相应 的 变异 和 组 合 , 形 成 新 的 个 体 。 
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遗传 算法 通常 对 需要 优化 的 系统 变量 进行 编码 ,作为 构成 个 体 的 染色体”, 再 利用 相应 的 变 
异 和 组 合 ,形成 新 的 个 体 。 

对 于 遗传 算法 的 研究 者 来 说 ,入 侵 的 检测 过 程 可 以 抽象 为 : 为 审计 记录 定义 一 种 向 量 
表示 形式 ,这 种 向 量 或 者 对 应 于 攻击 行为 ,或 者 表示 正常 行为 。 通 过 对 所 定义 的 向 量 进行 测 
试 ,提出 改进 的 向 量 表示 形式 ,并 且 不 断 重复 这 个 过 程 ,直到 得 到 令 人 满意 的 结果 。 

7) 蜜 饶 

蜜 饶 也 是 一 种 人 侵 检 测 系统 ,设计 者 诱导 攻击 者 访问 预先 设置 的 蜜 饶 ,而 不 是 工作 中 的 
网 络 , 从 而 提高 检测 攻击 和 攻击 者 行为 的 能 力 ,降低 攻击 带 来 的 破坏 。 

设计 蜜 饶 的 目标 有 两 个 : 一 是 在 不 被 攻击 者 察觉 的 情况 下 监视 他 们 的 活动 .收集 与 攻 
击 者 相关 的 所 有 信息 ; 二 是 牵制 攻击 者 ,使 之 将 时 间 和 精力 都 耗费 在 攻击 蜜 铅 上 ,从 而 远离 
实际 的 工作 网 络 。 

8) 蜜 网 

蜜 网 的 概念 是 由 蜜 钢 发 展 起 来 的 。 早 期 人 们 为 了 研究 黑客 的 入 侵 行为 ,在 网 络 中 放置 
了 一 些 特殊 的 计算 机 ,并 且 在 这 些 计算 机 上 运行 专用 的 模拟 软件 ,使 得 从 外 界 看 来 这 些 计算 
机 就 是 网 络 上 运行 某 些 操作 系统 的 主机 。 将 这 些 计算 机 连接 和 人 网 络 ,并 为 其 设置 较 低 的 安 
全 防护 等 级 , 诱 使 人 侵 者 进攻 系统 。 入 侵 者 进攻 系统 后 ,一 切 行为 都 会 被 系统 软件 监控 和 记 
录 , 通 过 系统 软件 收集 描述 入 侵 者 行为 的 数据 ,就 可 以 对 入 侵 者 的 行为 进行 分 析 。 

目前 , 蜜 网 的 软件 产品 已 经 很 多 ,可 以 模拟 各 种 不 同 的 操作 系统 ,例如 : Windows、 
RedHat、FreeBSD、Cisco 路 由 器 的 IOS 等 。 然 而 ,模拟 软件 并 不 能 完全 反映 真实 的 网 络 状 
况 , 也 不 可 能 模拟 实际 网 络 中 所 出 现 的 各 种 情况 。 在 其 之 上 收集 到 的 数据 有 一 定 的 局 限 性 ， 
因此 ,又 出 现 了 用 真实 的 计算 机 组 建 的 蜜 网 。 


5.1.7 网 络 安 全 扫描 技术 


1. 网 络 安全 扫描 技术 概述 


随 着 网 络 攻 击 技术 的 发 展 ,攻击 工具 和 方法 日 趋 复 杂 , 网 络 攻击 已 构成 对 网 络 安全 极 大 
的 威胁 。 网 络 攻 击 的 一 个 重要 特征 就 是 具有 阶段 性 。 在 准备 阶段 ,网 络 攻击 者 要 进行 情报 
的 搜集 与 分 析 工 作 ; 在 攻击 实施 阶段 要 进行 远程 登录 、 远 程 攻击 、 取 得 普通 用 户 权 限 甚至 超 
级 用 户 权 限 等 工作 ; 在 善后 处 理 阶 段 则 需要 设置 后门" 和 清除 日 志 等 一 系列 后 续 工作 。 

利用 扫描 工具 对 目标 系统 进行 扫描 ,找到 目标 系统 的 漏洞 和 脆弱 点 ,是 实施 网 络 攻 击 的 
第 一 步 ,这 对 网 络 攻 击 者 来 说 是 至 关 重 要 的 。 同 样 ,对 于 进行 网 络 防 御 的 管理 员 来 说 ,首先 
要 做 的 就 是 利用 扫描 工具 探测 自身 网 络 的 安全 隐患 ,及 时 发 现 漏洞 ,在 被 攻击 之 前 进行 相应 
的 防范 和 补救 来 提高 网 络 的 安全 性 , 防 患 于 未 然 。 

扫描 工具 是 一 种 利用 网 络 安全 扫描 技术 自动 地 检测 目标 主机 安全 弱点 的 程序 。 它 能 够 
发 现 目标 主机 开放 的 端口 和 运行 的 服务 ,是 否 存在 系统 漏洞 和 安全 弱点 等 。 它 通过 与 目标 
主机 开放 的 端口 建立 连接 或 请 求 服务 ,如 http \telnet 等 ,获取 目标 主机 的 应 答 信息 ,以 搜集 
相关 的 信息 ,如 操作 系统 类 型 等 ,从 而 发 现 目标 主机 存在 的 安全 弱点 。 它 是 一 把 双 刃 剑 , 利 
用 网 络 安全 扫描 工具 的 扫描 结果 ,可 以 为 攻击 目标 网 络 系统 提供 指导 ,同时 还 可 以 用 于 网 络 
系统 的 安全 评测 ,评估 网 络 系统 的 安全 性 ,对 系统 存在 的 漏洞 提出 修补 建议 。 因 此 ,网 络 安 
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全 扫描 工具 既是 网 络 攻击 的 重要 武器 之 一 ,同时 也 是 网 络 安全 防御 的 重要 手段 之 一 。 

鉴于 网 络 安全 扫描 技术 的 双 面 性 ,对 其 进行 深入 的 研究 不 仅 可 以 更 好 地 为 网 络 安全 服 
务 , 而 且 可 以 深刻 认识 黑客 攻击 ,从 而 做 到 主动 防御 。 目 前 ,网 络 安全 扫描 技术 已 成 为 网 络 
安全 问题 研究 的 一 个 重要 组 成 部 分 ,有 着 非常 重要 的 实用 价值 。 


2. 网 络 安全 扫描 技术 分 析 


目前 ,网 络 安全 扫描 技术 主要 包括 端口 扫描 技术 、 弱 密码 扫描 技术 、 操 作 系统 探测 技术 
以 及 漏洞 扫描 技术 等 。 

1) 端口 扫描 技术 

一 个 开放 的 端口 就 是 一 个 潜在 的 通信 通道 ,也 是 一 个 入侵 的 通道 。 对 目标 计算 机 进行 
端口 扫描 ,可 以 得 到 许多 有 用 的 信息 ,如 开放 端口 及 所 提供 的 服务 等 。 端 口 扫 描 是 向 目标 主 
机 的 TCP 或 UDP 端口 发 送 探测 数据 包 , 记 录 目 标 主机 的 响应 ,然后 通过 分 析 响 应 数据 包 来 
判断 端口 是 否 开放 以 及 所 提供 的 服务 或 信息 ,帮助 我 们 发 现 主机 存在 的 某 些 安全 隐患 。 它 
为 系统 用 户 管理 网 络 提供 了 一 种 手段 ,同时 也 为 网 络 攻击 提供 了 必要 的 信息 。 

目前 ,端口 扫描 的 方式 主要 包括 TCP 全 连接 扫描 和 TCP 半 连 接 扫描 。 

(1) TCP 全 连接 扫描 。 

TCP 全 连接 扫描 的 过 程 是 先 向 目标 主机 端口 发 送 Syn 报 文 ,然后 等 待 目标 端口 发 送 
Syn/Ack 报 文 , 收 到 后 再 向 目标 端口 发 送 Ack 报 文 , 即 著名 的 “三 次 握手 ”过 程 。 在 许多 系 
统 中 只 须 调用 一 个 connect 函数 即 可 完成 。 该 方法 的 方便 之 处 在 于 它 不 需 超级 用 户 权 限 ， 
任何 希望 管理 端口 服务 的 人 都 可 以 使 用 ,但 它 通常 会 在 目标 主机 上 留 下 扫描 记录 , 易 被 管理 

(2) TCP 半 连 接 扫 描 。 

TCP 半 连 接 扫 描 通 常 被 称 为 “ 半 开 放 ” 式 扫描 。 扫 描 程 序 向 目标 主机 端口 发 送 一 个 
Syn 数据 包 , 一 个 Syn/ Ack 的 返回 信息 表示 端口 处 于 侦 听 状态 ,而 一 个 Rst 的 返回 信息 , 则 
表示 端口 处 于 关闭 状态 。 由 于 它 建 立 的 是 不 完全 连接 ,所 以 通常 不 会 在 目标 主机 上 留 下 记 
录 , 但 构造 Syn 数据 包 必须 要 有 超级 用 户 权限 。 

除 此 之 外 ,还 有 TCP Fin 扫描 、UDP 扫描 、ICMP Echo 扫描 、Ack 扫描 以 及 窗口 扫描 
等 ,这 里 不 再 缆 述 。 

2) 弱 密码 扫描 技术 

(1) 密码 与 弱 密 码 。 

所 谓 密码 , 它 为 用 户 的 数据 安全 提供 了 必要 的 安全 保障 。 如 果 一 个 用 户 的 密码 被 非法 用 
户 获得 , 则 非法 用 户 就 获得 了 该 用 户 的 权限 ,尤其 是 最 高 权限 用 户 的 密码 泄漏 以 后 ,主机 和 网 
络 也 就 失去 了 安全 性 。 通 过 密码 进行 身份 认证 是 目前 实现 计算 机 安全 的 主要 手段 之 一 。 

弱 密码 即 为 弱势 密码 , 指 易于 猜测 、 破 解 或 长 期 不 变更 的 密码 ,比如 123 和 sa 等 比较 简 
单 的 密码 。 有 些 密码 虽然 不 简单 ,但 容易 被 人 猜 到 ,如 网 络 管理 员 的 姓名 、 生 日 等 ,也 属于 弱 
密码 。 弱 密码 的 存在 是 非常 危险 的 ,很 容易 被 非法 用 户 破 解 。 

(2) 暴力 破解 。 

密码 检测 是 网 络 安 全 扫描 工具 的 一 部 分 , 它 要 做 的 就 是 判断 用 户 密码 是 否 为 弱 密 码 。 
如 果 存 在 弱 密 码 , 则 提醒 管理 员 或 用 户 及 时 修改 。 所 谓 的 暴力 破解 就 是 暴力 密码 猜测 ,是 攻 
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击 者 试图 登录 目标 主机 ,不 断 输 入 密码 ,直到 登录 成 功 为 止 的 攻击 方法 。 它 只 需要 能 连接 到 
目标 主机 的 可 登录 端口 ,然后 通过 人 工 或 自动 执行 工具 软件 一 次 次 地 猜测 来 进行 判断 ,速度 
较 慢 。 这 种 看 似 笨拙 的 方法 却 是 黑客 们 最 常用 的 方法 ,也 往往 是 最 有 效 的 方法 之 一 。 它 针 
对 的 是 弱 密 码 ,而 用 户 弱 密 码 是 普遍 存在 的 。 

黑客 的 暴力 破解 是 对 用 户 密码 强度 的 考验 ,那么 ,在 接受 黑客 考验 之 前 ,用 黑客 的 方法 
先 对 密码 强度 进行 检测 ,确保 其 可 靠 性 ,就 会 大 大 降低 暴力 破解 的 成 功率 。 因 此 , 弱 密 码 扫 
描 是 网 络 安全 扫描 必 不 可 少 的 环节 。 

3) 操作 系统 探测 技术 

操作 系统 类 型 是 进行 人 侵 或 安全 检测 需要 收集 的 重要 信息 之 一 。 绝 大 部 分 系统 安全 漏 
洞 都 与 操作 系统 有 关 , 因 此 ,探测 出 目标 主机 操作 系统 的 类 型 甚至 版 本 信息 对 于 攻击 者 和 网 
络 防御 者 来 说 都 具有 重要 的 意义 。 目 前 流行 的 操作 系统 探测 技术 主要 有 应 用 层 探 测 技术 和 
TCP/IP 协议 栈 指 纹 探测 技术 。 

应 用 层 探测 技术 是 通过 向 目标 主机 发 送 应 用 服务 连接 ,或 访问 目标 主机 开放 的 有 关 记 
录 , 探 测 出 目标 主机 的 操作 系统 信息 ,如 通过 向 服务 器 请 求 Telnet 连接 ,可 以 知道 运行 的 操 
作 系 统 类 型 和 版 本 信息 。 其 他 的 如 Web 服务 器 、DNS 主机 记录 、SNMP 等 也 可 以 提供 相 

TCP/IP 协议 栈 指纹 探测 技术 是 利用 各 种 操作 系统 在 实现 TCP/IP 协议 栈 时 存在 的 一 
些 细微 差别 ,通过 探测 这 些 细微 的 差异 ,来 确定 目标 主机 的 操作 系统 类 型 。 主 动 协议 栈 指纹 
技术 和 被 动 协议 栈 指纹 技术 是 目前 探测 主机 操作 系统 类 型 的 主要 方式 。 

(1) 主动 协议 栈 指纹 技术 。 

这 种 技术 主要 是 主动 有 目的 地 向 目标 系统 发 送 探测 数据 包 , 通 过 提取 和 分 析 响 应 数据 
包 的 特征 信息 ,来 判断 目标 主机 的 操作 系统 信息 。 主 要 有 Fin 探测 分 组 、 假 标志 位 探测 、 
ISN 采样 探测 、TCP 初始 化 窗口 、ICMP 信息 引用 、 服 务 类 型 以 及 TCP 选项 等 。 

(2) 被 动 协议 栈 指 纹 技 术 。 

这 种 技术 主要 是 通过 被 动 地 捕获 远程 主机 发 送 的 数据 包 来 分 析 远 程 主机 的 操作 系统 类 
型 及 版 本 信息 , 它 比 主动 方式 更 隐秘 ,一 般 可 以 从 四 个 方面 着 手 : TTL、WS、DF 和 TOS。 
在 捕捉 到 一 个 数据 包 后 ,通过 综合 分 析 上 述 四 个 因素 ,就 能 基本 确定 一 个 操作 系统 的 类 型 。 

4) 漏洞 扫描 技术 

漏洞 是 硬件 、 软 件 或 者 安全 策略 上 的 错误 而 引起 的 缺陷 ,从 而 使 别人 能 够 利用 这 个 缺陷 
在 未 经 授权 的 情况 下 访问 系统 或 者 破坏 系统 的 正常 使 用 。 漏 洞 的 种 类 很 多 ,主要 有 网 络 协 
议 漏 洞 .配置 不 当 导 致 的 系统 漏洞 和 应 用 系统 的 安全 漏洞 等 。 

漏洞 扫描 技术 是 自动 检测 远 端 或 本 地 主机 安全 脆弱 点 的 技术 。 根 据 安全 漏洞 检测 的 方 
法 ,可 以 将 漏洞 扫描 技术 分 为 以 下 四 种 类 型 : 

(1) 基于 主机 的 检测 技术 。 

基于 主机 的 检测 技术 主要 检查 一 个 主机 系统 是 否 存在 安全 漏洞 。 这 种 检查 将 涉及 操作 
系统 的 内 核 ,文件 属性 、 操 作 系统 补丁 和 不 合适 的 设置 等 问题 。 

(2) 基于 网 络 的 检测 技术 。 

基于 网 络 的 检测 技术 主要 检查 一 个 网 络 系统 是 否 存在 安全 漏洞 以 及 抗 攻击 能 力 。 它 运 
行 于 单个 或 多 个 主机 ,可 以 采用 常规 漏洞 扫描 的 方法 来 检查 网 络 系统 是 否 存在 安全 漏洞 ,也 
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可 以 采用 仿真 攻击 的 方法 来 测试 目标 系统 的 抗 攻 击 能 力 。 

(3) 基于 审计 的 检测 技术 。 

基于 审计 的 检测 技术 主要 通过 审计 一 个 系统 的 完整 性 来 检查 系统 内 是 否 存在 被 故意 安 
放 的 后 门 程序 。 这 种 安全 审计 将 周期 性 地 使 用 单 向 散 列 算法 对 系统 的 特征 信息 如 文件 的 属 
人 性 等 进行 计算 ,并 将 计算 结果 与 初始 计算 结果 相 比较 ,一 旦 发 现 改变 就 通知 管理 员 。 

(4) 基于 应 用 的 检测 技术 。 

基于 应 用 的 检测 技术 主要 利用 软件 测试 的 结果 检查 一 个 应 用 软件 是 否 存 在 安全 漏洞 ， 
如 应 用 软件 的 设置 是 否 合理 .有 无 缓冲 区 溢出 问题 等 。 


3. 网 络 安全 扫描 技术 的 发 展 


网 络 的 不 安全 性 激发 了 研究 者 对 网 络 安 全 防护 技术 的 广泛 关注 。 在 网 络 攻 击 者 与 网 络 
安全 技术 人 员 之 间 的 攻防 战 不 断 升 级 过 程 中 ,出 现 了 多 种 多 样 的 网 络 安全 技术 和 防护 工具 。 

网 络 安全 扫描 是 众多 的 网 络 安全 技术 之 一 ,是 解决 网 络 安全 问题 的 另 一 种 思路 。 网 络 
安全 扫描 技术 最 早 由 Dan Farmer 和 Weitse Venema 等 人 在 1995 年 提出 并 实现 ,其 基本 思 
想 是 模仿 入 侵 者 的 攻击 方法 ,从 攻击 者 的 角度 来 评估 网 络 系统 的 安全 性 。 他 们 开发 的 
SATAN 扫描 工具 是 一 个 运行 在 Linux 环境 下 的 端口 扫描 程序 ,虽然 功能 比较 简单 ,但 它 体 
现 了 这 样 一 种 观点 : 一 个 网 络 管理 员 能 够 保障 系统 安全 的 途径 之 一 ,是 分 析 入 侵 者 是 如 何 
侵入 系统 的 。 这 种 安全 扫描 方式 ,能 够 更 准确 地 向 网 络 管理 员 报 告 系统 中 存在 安全 问题 的 
地 方 , 以 及 需要 加 强 安全 管理 的 地 方 , 这 种 方法 比 其 他 方法 更 具有 指导 性 和 针对 性 。 

在 实际 应 用 中 ,网络 安 全 扫描 主要 用 来 搜集 网 络 信息 ,帮助 我 们 发 现 目 标 主 机 的 弱点 和 
漏洞 ,并 能 根据 扫描 结果 提高 网 络 安全 性 能 ,防范 黑客 攻击 。 网 络 安全 扫描 工具 通常 应 具备 
以 下 几 种 功能 : 

(1) 能 够 发 现 一 台 主 机 或 一 个 网 络 。 

(2) 对 于 正在 运行 的 主机 ,能 够 发 现 主 机 开放 的 端口 及 提供 的 服务 ,能 够 较为 准确 地 探 
测 出 主机 运行 的 操作 系统 类 型 及 版 本 信息 。 

(3) 通过 探测 系统 和 服务 ,能 够 发 现 系统 中 存在 的 安全 漏洞 。 

网 络 安全 扫描 工具 一 直 是 网 络 安全 界 的 研究 热点 ,国内 外 的 一 些 研究 人 员 也 一 直 致 力 
于 这 方面 的 研究 。 目 前 研究 成 果 主 要 有 国外 的 Nmap、SuperScan、Nessus 等 ,以 及 国内 的 
X-Scan 和 流光 等 。 

Nmap 是 Fyodor 编写 的 网 络 安全 扫描 工具 。 它 提供 了 比较 全 面 的 扫描 方法 ,如 支持 
TCP、UDP 等 多 种 协议 的 扫描 方式 ,以 及 利用 协议 栈 指纹 技术 识别 目标 主机 操作 系统 的 功 
能 ,是 目前 国内 外 最 为 流行 的 端口 扫描 工具 之 一 。Nmap 虽然 是 一 个 强大 的 端口 扫描 工具 ， 
但 它 没有 漏洞 扫描 的 功能 ,无 法 对 目标 主机 的 脆弱 性 进行 深入 挖掘 ,不 符合 网 络 攻击 系统 中 
综合 性 能 强 的 作战 要 求 。 

SuperScan 是 Robin Keir 编写 的 应 用 在 Windows 环境 下 的 TCP 端口 扫描 程序 。 它 允 
许 用 户 录 活 的 定义 目标 主机 的 端口 列表 ,而 且 图 形 化 的 交互 界面 使 用 起 来 比较 简单 方便 。 

Nussus 是 一 款 运 行 在 Linux、BSD、Solaris 以 及 其 他 系统 上 的 安全 扫描 工具 ,是 一 款 
基于 多 线程 和 插件 的 漏洞 扫描 软件 。 该 软件 具有 漏洞 数据 与 CVE 标准 兼容 的 特性 ,能够 
完成 超过 1200 项 的 远程 安全 检查 ,具有 强大 的 报告 输出 能 力 , 并 且 会 为 每 个 发 现 的 安全 问 
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题 提 出 解决 建议 。 

X-Scan 是 国内 “安全 焦点 "编写 的 一 个 运行 于 Windows 环境 下 的 安全 漏洞 扫描 工具 。 
它 采 用 多 线程 方式 对 指定 IP 地 址 段 进 行 安全 漏洞 扫描 ,支持 插件 功能 ,提供 了 图 形 化 界面 
和 命令 行 两 种 操作 方式 ,实现 对 远程 主机 的 操作 系统 类 型 .标准 端口 以 及 常见 漏洞 的 扫描 。 
但 它 只 提供 了 一 种 端口 扫描 方式 ,在 目标 网 络 复杂 时 无 法 灵活 自主 地 进行 选择 配置 ,从 而 限 
制 了 它 的 适用 性 。 

流光 是 国内 著名 网 络 安 全 专家 小 榕 所 开发 的 扫描 工具 , 它 除 了 能 够 像 X-Scan 那样 扫描 
众多 的 漏洞 和 弱 密 码 外 ,还 集成 了 其 他 的 入 侵 工 具 , 如 字典 工具 、NT/TIS 工具 等 。 另 外 ,还 
独创 了 能 够 控制 “肉鸡 ”进行 扫描 的 “流光 Sensor 工具 ”和 为 “肉鸡 ”安装 服务 的 “种 植 者 ” 工 
具 。 虽 然 它 的 功能 多 一 些 , 但 操作 起 来 非常 繁杂 。 

通过 对 国内 外 的 网 络 安全 扫描 工具 的 分 析 和 了 解 可 以 看 出 ,现在 的 扫描 工具 都 有 各 自 
的 特点 和 局 限 性 。 而 我 国 开展 网 络 安全 扫描 技术 的 研究 工作 起 步 比 较 晚 ,工作 不 够 深入 , 系 
统 性 和 综合 性 不 强 。 鉴 于 扫描 技术 在 当前 网 络 安全 问题 中 的 重要 地 位 ,必须 深入 开展 网 络 
安全 扫描 关键 技术 研究 ,才能 更 好 地 做 好 网 络 安全 防护 工作 。 


6.2 无 线 网 络 安全 技术 


根据 工作 原理 来 区 分 ,无 线 网 络 可 以 分 为 无 线 局 域 网 (WLAN)、 无 线 城 域 网 
(WiMAX)、 蓝 牙 网 络 (Bluetooth) ,ZigBee 网 络 、 超 宽带 网 络 (UWB)、WMN 网 络 等 类 型 。 


5.2.1 无 线 局 域 网 安全 


无 线 局 域 网 一 般 用 于 较 小 范围 的 无 线 通信 ,覆盖 范围 比较 小 ,一般 为 一 栋 建 筑 物 内 或 房 
间 内 ,采用 IEEE 802. 11 系列 标准 ,其 传输 速率 一 般 在 11 一 300Mbps 之 间 ,传输 距离 一 般 为 
50 米 一 100 米 ,工作 频段 为 2.4GHz。 

IEEE 802. 11 系列 标准 包括 IEEE 802. 1la、IEEE 802. 11b IEEE 802. 11g 和 IEEE 
802. 11n 等 儿 个 重要 标准 ,主要 用 于 实现 企业 内 部 网 络 用 户 终端 或 者 家 庭 无 线 网 络 用 户 的 
近 距 离 无 线 接 入 , 即 Wi-Fi 接 入 。 

无 线 局 域 网 具有 安装 简单 .使 用 方便 、 经 济 节约 、 易 于 扩充 等 有 线 网 络 无 法 比拟 的 优点 ， 
因此 得 到 了 越 来 越 广 泛 的 使 用 。 然 而 ,无 线 局 域 网 信道 开放 的 特点 使 得 攻击 者 能 够 很 容易 
地 进行 窃听 、 恶 意 修改 并 转发 ,因此 安全 性 成 为 阻碍 无 线 局 域 网 发 展 的 最 重要 因素 。 虽 然 对 
无 线 局 域 网 的 需求 不 断 增长 ,但 是 安全 问题 也 让 许多 潜在 的 用 户 望 而 却步 ,对 最 终 是 否 采用 
无 线 局 域 网 系统 犹 殉 不 决 。 


1. 无 线 局 域 网 的 安全 威胁 


使 用 无 线 局 域 网 实现 网 络 通信 时 ,网 络 必须 具有 较 强 的 保密 能 力 。 目 前 市 场 上 的 无 线 
局 域 网 产品 ,主要 存在 以 下 安全 威胁 : 

1) 容易 被 入 侵 

无 线 局 域 网 非常 容易 被 发 现 ,为 了 能 够 使 用 户 发 现 无 线 网 络 的 存在 ,无 线 网 络 必须 发 送 有 
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特定 参数 的 信 标 帧 ,因此 就 给 攻击 者 提供 了 必要 的 网 络 信息 。 攻 击 者 可 以 通过 高 灵敏 度 天 线 
从 公路 边 、 楼 房 中 以 及 其 他 任何 地 方 对 无 线 网 络 发 起 攻击 而 不 需要 任何 物理 方式 的 连接 。 

2) 存在 非法 接 人 点 

无 线 局 域 网 易于 访问 和 配置 简单 的 特性 ,常常 使 得 网 络 管理 员 非 常 苦恼 。 因 为 如 果 不 
设置 密码 ,任何 人 都 可 以 通过 手机 或 者 电脑 不 经 授权 而 接 人 无 线 局 域 网 。 而 且 , 有 许多 部 门 
并 没有 经 过 企业 信息 中 心 的 授权 ,就 自行 组 建 无 线 局 域 网 ,这 种 非法 的 无 线 接 入 点 会 给 整个 
物 联网 带 来 很 大 的 安全 隐患 。 

3) 未 经 授权 使 用 服务 

几乎 有 一 半 以 上 的 网 络 用 户 ,在 配置 无 线 接 人 点 时 ,仅仅 进行 简单 的 配置 。 几 乎 所 有 的 
无 线 接 人 点 都 按照 默认 配置 来 开启 WEP 进行 加 密 或 者 使 用 原 厂 提供 的 默认 密 钥 。 由 于 无 
线 局 域 网 开放 式 的 访问 方式 ,因此 未 经 授权 用 户 擅自 占用 网 络 资源 时 ,不 仅 会 增加 带宽 费 
用 ,还 有 可 能 导致 法 律 纠纷 。 未 经 授权 的 用 户 并 没有 遵守 服务 提供 商 提出 的 服务 条 款 ,这 很 
可 能 会 导致 ISP 中 断 服务 。 

4) 服务 和 性 能 的 限制 

无 线 局 域 网 的 传输 带宽 是 有 限 的 ,由 于 物理 层 的 开销 ,使 得 无 线 局 域 网 的 实际 最 高 有 效 
吞吐 量 仅仅 为 标准 的 一 半 , 而 且 该 带宽 是 被 无 线 接 入 点 的 所 有 用 户 共 享 的 。 无 线 带 宽 可 以 
被 多 种 方式 占用 ,比如 来 自 有 线 网 络 远 远 超过 无 线 网 络 带宽 的 网 络 流量 ,如 果 攻 击 者 从 快速 
以 太 网 发 送 大 量 的 ping 信号 ,就 可 以 轻易 地 占用 无 线 接 人 点 有 限 的 带宽 。 

5) 地 址 欺骗 和 会 话 拦截 

由 于 802. 11 无 线 局 域 网 对 数据 帧 不 进行 认证 操作 ,使 得 攻击 者 可 以 通过 欺骗 重新 定向 
数据 流 , 使 ARP 表 变 得 混乱 。 通 过 非常 简单 的 方法 ,攻击 者 就 可 以 轻易 获得 无 线 网 络 中 站 
点 的 MAC 地 址 ,这 些 地 址 可 以 在 恶意 攻击 时 使 用 。 

6) 流量 分 析 与 流量 侦 听 

802. 11 无 线 局 域 网 无 法 防止 攻击 者 采用 被 动 方式 监听 网 络 流量 ,而 任何 无 线 网 络 分 析 
设备 都 可 以 不 受 任何 阻碍 的 截获 未 进行 加 密 的 网 络 流量 。 目 前 ,WEP 存在 可 以 被 攻击 者 利 
用 的 漏洞 , 它 只 能 保护 用 户 和 网 络 通信 的 初始 数据 ,管理 和 控制 帧 是 不 能 被 WEP 加 密 和 认 
证 的 。 显 然 , 这 就 给 攻击 者 以 欺骗 帧 终止 网 络 通信 提供 了 机 会 。 

7) 高 级 入侵 

一 旦 攻击 者 进入 无 线 局 域 网 , 它 将 成 为 进一步 和 人 侵 其 他 系统 的 起 点 。 很 多 无 线 网 络 都 
有 一 套 精心 设置 的 安全 设备 作为 网 络 的 外 过 ,以 防止 非法 攻击 。 但 是 在 外 壳 保 护 的 网 络 内 
部 却 非常 脆弱 ,很 容易 受到 攻击 。 无 线 网 络 通 过 简单 配置 就 可 以 快速 的 接 入 主干 网 络 ,这 将 
使 得 网 络 暴露 在 攻击 者 面前 ,从 而 遭 到 入 侵 。 


2. 无 线 局 域 网 安全 技术 


到 目前 为 止 ,已 经 出 现 了 多 种 无 线 局 域 网 的 安全 技术 ,包括 物理 地 址 过 滤 、 服 务 区 标识 
符 (SSID) 匹配 、 有 线 对 等 保密 (WEP)、 端 口 访问 控制 技术 、WPA、IEEE 802. 11i 和 
WAPI 等 。 

1) 物理 地 址 (MAC) 过 滤 

每 一 个 无 线 工作 站 网 卡 都 有 唯一 的 48 位 二 进 制 数 的 物理 地 址 (MAC) ,该 物理 地 址 编 
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码 方式 类 似 于 以 太 网 的 物理 地 址 。 网 络 管理 员 可 以 在 无 线 局 域 网 访问 点 (Access Point， 
AP) 中 手工 维护 一 组 允许 (或 不 允许 ) 通 过 AP 访问 网 络 地 址 的 列表 ,以 实现 基于 物理 地 址 
的 访问 过 滤 。 

物理 地 址 过 滤 具 有 如 下 四 个 优点 : 

(1) 简化 了 访问 控制 。 

(2) 接受 或 者 拒绝 预先 设 定 的 用 户 。 

(3) 被 过 滤 的 物理 地 址 不 能 进行 访问 。 

(4) 提供 了 第 二 层 防 护 。 

然而 ,物理 地 址 过 滤 也 存在 以 下 两 个 缺点 : 

(1) 当 AP 和 无 线 终端 数量 较 多 时 ,大 大 增加 了 管理 负担 。 

(2) 容易 受到 MAC 地 址 伪装 攻击 。 

2) 服务 区 标识 符 (SSID) 匹 配 

服务 区 标识 符 (Service Set Identifier,SSID) 匹 配 将 一 个 无 线 局 域 网 分 为 几 个 不 同 的 子 
网 络 ,每 一 个 子 网 络 都 有 其 对 应 的 身份 标识 (SSID) ,只 有 无 线 终端 设置 了 配对 的 SSID 才能 
接 入 相应 的 子 网 络 。 因 此 可 以 认为 SSID 是 一 个 简单 的 口令 ,提供 了 口令 认证 机 制 ,实现 了 
一 定 的 安全 性 。 但 是 这 种 口令 很 容易 被 无 线 终端 探测 出 来 ,企业 级 无 线 应 用 绝 不 能 只 依赖 
这 种 技术 做 安全 保障 ,而 只 能 作为 区 分 不 同 无 线 服务 区 的 标识 。 

3) IEEE 802. 11 WEP 加 密 技术 

IEEE 802. 11 标准 定义 了 一 种 称 为 有 线 对 等 保密 CWEP) 的 加 密 技术 ,其 目的 是 为 无 线 
局 域 网 提供 与 有 线 网 络 相同 级 别 的 安全 保护 。WEP 采用 静态 的 有 线 对 等 加 密 密 钥 的 基本 
安全 方式 。 静 态 WEP 密 钥 是 一 种 在 会 话 过 程 中 不 发 生变 化 ,也 不 针对 各 个 用 户 而 变化 的 
密 钥 。 在 标准 中 ,加 密 密 钥 长 度 有 64 位 和 128 位 两 种 。 其 中 24 位 的 加 密 密 钥 是 由 系统 产 
生 的 ,因此 需要 在 无 线 接 入 点 和 无 线 站 点 上 配置 的 密 钥 只 有 40 位 或 104 位 。 

IEEE 802. 11 WEP 在 传输 上 提供 了 一 定 的 安全 性 和 保密 性 ,能 够 阻止 无 线 用 户 有 意 或 
无 意 地 查看 到 无 线 接 人 点 和 无 线 站 点 之 间 传 输 的 内 容 , 其 主要 优点 如 下 

(1) 全 部 报 文 都 是 使 用 校 验 和 加 密 ,提供 的 一 些 抵抗 自 改 的 能 力 。 

(2) 通过 加 密 来 维护 一 定 的 保密 性 ,如 果 没 有 密 钥 , 就 难以 对 报 文 解密 。 

(3) WEP 非常 容易 实现 。 

(4) WEP 为 无 线 局 域 网 应 用 程序 提供 了 非常 基本 的 保护 。 

然而 ,IEEE 802. 11 WEP 也 存在 以 下 6 个 缺点 : 

(1) 静态 WEP 密 钥 对 于 WLAN 上 的 所 有 用 户 都 是 通用 的 。 

这 意味 着 如 果 某 个 无 线 设 备 丢失 或 者 被 盗 ,所 有 其 他 设备 上 的 静态 WEP 密 钥 都 必须 
进行 修改 ,以 保持 相同 级 别 的 安全 性 。 这 将 给 网 络 管理 员 带 来 非常 费时 费力 的 、 不 切实 际 的 
管理 任务 。 

(2) 缺少 密 钥 管理 。 

WEP 标准 中 并 没有 规定 共享 密 钥 的 管理 方案 ,通常 是 手工 进行 配置 与 维护 。 由 于 更 换 
密 钥 的 费时 与 困难 ,因此 密 钥 通 常 长 时 间 使 用 而 极 少 更 改 。 

(3) ICV 算法 不 合适 。 

ICV 算法 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪音 和 普通 错误 的 算法 。CRC-32 是 信 
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息 的 线性 函数 ,这 意味 着 攻击 者 可 以 自 改 加 密 信息 ,并 且 很 容易 的 修改 ICV ,使 伪装 的 信息 
表面 上 看 起 来 是 可 信 的 。 

(4) RC4 算法 存在 弱点 。 

在 RC4 算法 中 存在 弱 密 钥 。 所 谓 弱 密 钥 ,就 是 密 钥 与 输出 之 间 存 在 相关 性 。 攻 击 者 收 
集 到 足够 多 的 使 用 弱 密 钥 的 数据 包 后 ,就 可 以 对 弱 密 钥 进 行 分 析 , 只 需 尝 试 很 少 的 密 钥 就 可 
以 接 入 到 无 线 局 域 网 中 。 

(5) 认证 信息 容易 伪造 。 

基于 WEP 的 共享 密 钥 认证 的 目的 就 是 实现 访问 控制 ,但 是 事实 却 截然 相反 。 只 要 通 
过 监听 一 次 成 功 的 认证 ,攻击 者 以 后 就 可 以 伪造 认证 。 启 动 共享 密 钥 认证 实际 上 降低 了 网 
络 的 总 体 安全 性 ,使 得 攻击 者 猜 中 WEP 密 钥 变 得 更 为 容易 。 

(6) WEP2 算法 没有 解决 其 机 制 本 身 产 生 的 安全 漏洞 。 

为 了 提高 安全 性 , Wi-Fi 工作 组 提供 了 WEP2 技术 ,该 技术 与 WEP 算法 相 比 , 仅 仅 是 
将 WEP 密 钥 的 长 度 从 四 十 位 加 长 到 一 百 二 十 八 位 ,初始 化 向 量 的 长 度 从 二 十 四 位 加 长 到 
一 百 二 十 八 位 。 但 是 WEP 算法 的 安全 漏洞 ,是 由 于 WEP 安全 机 制 本 身 引起 的 ,与 密 钥 的 
长 度 无 关 , 尽 管 增加 了 密 钥 的 长 度 , 也 不 可 能 增强 其 安全 程度 。 也 就 是 说 , WEP2 算法 并 没 
有 起 到 提高 安全 性 的 作用 。 

4) IEEE 802. 1x/EAP 用 户 认证 

IEEE 802. 1x 是 针对 以 太 网 而 提出 的 基于 端口 进行 网 络 访问 控制 的 安全 性 标准 。 基 于 
端口 的 网 络 访问 控制 利用 物理 层 特性 对 连接 到 局 域 网 端口 的 设备 进行 身份 认证 。 如 果 认 证 
失败 , 则 禁止 该 设备 访问 局 域 网 的 资源 。 

尽管 IEEE 802. 1x 标准 最 初 是 为 有 线 局 域 网 设计 和 制定 的 ,但 是 它 也 适用 于 符合 
IEEE 802. 1x 标准 的 无 线 局 域 网 ,并 且 被 视 为 无 线 局 域 网 的 一 种 增强 性 网 络 安全 解决 方案 。 
IEEE 802. 1x 的 体系 结构 包括 以 下 三 个 主要 的 组 件 。 

(1) 请 求 方 : 提出 认证 申请 的 用 户 接 入 设备 ,在 无 线 局 域 网 中 ,通常 只 接 入 网 络 的 无 线 
客户 端 设备 。 

(2) 认证 方 : 允许 客户 端 进行 网 络 访问 的 实体 ,在 无 线 局 域 网 中 ,通常 指 访问 接 人 点 (AP) 。 

(3) 认证 服务 器 : 为 认证 方 提供 认证 服务 的 实体 。 认 证 服务 器 对 认证 方 进行 验证 , 然 
后 告知 认证 方 该 请 求 者 是 否 为 授权 用 户 。 认 证 服务 器 可 以 是 某 个 单独 的 服务 器 实体 ,也 可 
以 不 是 单独 的 服务 器 实体 ,此 时 通常 都 是 将 认证 功能 集成 到 认证 方 。 

IEEE 802. 1x 标准 为 认证 方 定义 了 两 种 访问 控制 端口 , 即 受 控 端 口 和 非 受 控 端口 。 受 
控 端 口 分 配给 那些 已 经 成 功 通过 认证 的 实体 进行 网 络 访问 ; 而 认证 尚未 完成 之 前 ,所 有 的 
通信 数据 流 从 非 受 控 端 口 进 出 。 非 受 控 端口 只 允许 通过 IEEE 802. 1x 认证 的 数据 ,一 旦 认 
证 成 功 通过 ,请 求 方 就 可 以 通过 受 控 端口 访问 无 线 局 域 网 的 资源 和 服务 。 

IEEE 802. 1x 技术 是 一 种 增强 型 的 网 络 安全 解决 方案 。 在 采用 的 IEEE 802. 1x 无 线 局 
域 网 中 ,无 线 用 户 端 安装 客户 端 软件 作为 请 求 方 ,无 线 访 问 点 (AP) 骨 入 IEEE 802. 1x 认证 
代理 作为 认证 方 ,同时 它 还 作为 RADIUS 认证 服务 器 的 客户 端 ,负责 用 户 与 RADIUS 服务 
器 之 间 认 证 信息 的 转发 。 

5) WPA(IEEE 802. 11i) 标 准 

针对 人 们 对 提高 无 线 局 域 网 安全 的 迫切 需求 , Wi-Fi 联盟 专门 制定 了 Wi-Fi 保护 接 人 
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标准 (Wi-Fi Protected Access, WPA)。WPA 是 IEEE 802. 11i 的 一 个 子 集 ,其 核心 就 是 
IEEE 802. 1x 和 TKIP。 

WPA 采用 了 IEEE 802.1x 和 TKIP 来 实现 无 线 局 域 网 的 访问 控制 、 密 钥 管理 和 数据 
加 密 。 尽 管 WPA 在 安全 性 方面 比 WEP 有 了 很 大 的 改进 和 加 强 , 但 是 WPA 仅仅 是 一 个 临 
时 性 的 过 渡 方 案 , WPA2 则 进一步 采用 了 AES 加 密 机 制 。 

IEEE 802. 11i 是 新 一 代 的 无 线 局 域 网 安全 标准 。 为 了 使 无 线 局 域 网 技术 从 安全 性 得 
不 到 很 好 保障 的 困境 中 解脱 出 来 ,IEEE 802. 11 工作 组 致力 于 制订 被 称 为 IEEE 802. 11i 的 
新 一 代 安 全 标准 ,这 个 安全 标准 是 为 了 增强 无 线 局 域 网 的 数据 加 密 和 认证 性 能 ,定义 了 强健 
安全 网 络 (Robust Security Network, RSN) 的 概念 ,并 且 针 对 WEP 加 密 机 制 的 各 种 缺陷 做 
了 多 方面 的 改进 。 

IEEE 802. 11i 安全 标准 规定 使 用 IEEE 802. 1x 认证 和 密 钥 管理 方式 ,在 数据 加 密 方 
面 ,定义 了 TKIP (Temporal Key Integrity Protocol) 、CCMP (Counter-Mode/CBC-MAC 
Protocol) 和 WRAP(Wireless Robust Authenticated Protocol)3 种 加 密 机 制 。 其 中 TKIP 
采用 了 WEP 机 制 中 的 RC4 作为 核心 加 密 算 法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 
程序 的 方法 ,达到 提高 无 线 局 域 网 安全 的 目的 。CCMP 机 制 基 于 AES (Advanced 
Encryption Standard) 加 密 算法 和 CCM(Counter-Mode/CBC-MAC) 认 证 方式 ,使 得 无 线 局 
域 网 的 安全 性 能 大 大 提高 ,是 实现 RSN 的 强制 性 要 求 。 

6) WAPI 协 议 

虽然 IEEE 802. 11i 解决 了 无 线 局 域 网 传统 安全 体制 的 大 部 分 问题 ,但 是 当 它 应 用 到 运 
营 中 的 无 线 局 域 网 时 ,仍然 存在 相当 的 问题 。 

WAPI 协议 采用 国家 密码 管理 局 委员 会 办 公 室 批准 的 公开 密 钥 体 制 的 椭圆 曲线 密码 算 
法 和 秘密 密 钥 体制 的 分 组 密码 算法 ,分 别 用 于 无 线 局 域 网 设备 的 数字 证 书 、 密 钥 协 商 以 及 传 
输 数 据 的 加 密 和 解密 ,从 而 实现 设备 的 身份 鉴别 、 链 路 验证 ,访问 控制 和 用 户 信息 在 无 线 传 
输 状 态 下 的 加 密 保护 。 

WAPI 安全 系统 采用 公 钥 加 密 技术 ,鉴别 服务 器 AS 负责 证 书 的 颁发 .验证 与 吊销 等 ， 
无 线 客户 端 及 移动 终端 与 无 线 接 入 点 AP 上 都 安装 有 AS 颁发 的 公 钥 证 书 ,作为 自己 的 数 
字 身 份 任 证 。 当 移动 终端 登录 到 无 线 接 人 点 时 ,在 使 用 和 访问 网 络 之 前 必须 通过 鉴别 服务 
器 对 双方 进行 身份 验证 。 根 据 验 证 的 结果 , 持 有 合法 证 书 的 移动 终端 才能 接 人 持 有 合法 证 
书 的 无 线 接 入 点 ,也 就 是 说 才能 通过 无 线 接 入 点 访问 网 络 。 这 样 不 仅 可 以 防止 非法 移动 终 
端 接 入 而 访问 网 络 并 占用 网 络 资源 ,而 且 还 可 以 防止 移动 终端 登录 到 非法 无 线 接 入 点 造成 
的 信息 泄露 。 


5.2.2 无 线 城 域 网 安全 


1. 无 线 城 域 网 概述 


无 线 城 域 网 (Wireless Metropolitan Area Network.WMAN) 是 指 以 无 线 方式 构成 的 城 
域 网 , 它 提供 面向 互联 网 的 高 速 连接 。WMAN 既 可 以 使 用 无 线 电波 ,也 可 以 使 用 红外 光波 
来 传送 数据 , 它 提供 给 用 户 以 高 速 访问 Internet 的 无 线 访问 网 络 带宽 ,其 需求 正 日 益 增长 。 

WiMAX 论坛 (微波 存 取 全 球 互通 技术 论坛 ) 是 2001 年 6 月 在 美国 加 州 注册 的 产业 界 
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为 主导 的 非 赢利 经 济 组 织 , 宗 旨 在 于 促进 WiMAX 在 全 球 发 展 和 产业 化 应 用 。WiMAX 论 
坛 推动 基于 IEEE 802. 16/ETSI HiperMan 标准 的 宽带 无 线 产品 的 认证 .互通 性 和 兼容 性 ， 
鼓励 所 有 的 无 线 宽带 接 人 相关 产业 的 厂商 遵循 一 个 统一 的 规范 ,使 各 个 产品 具有 良好 的 互 
操作 性 。 

IEEE 的 802. 16 标准 用 于 标准 化 空中 接口 和 无 线 本 地 环 路 与 耦合 的 相关 功能 , 它 是 一 
种 无 线 城 域 网 的 革命 性 标准 ,可 以 为 数据 .视频 和 语音 业务 提供 高 速 的 无 线 接 人 服务 。 
IEEE 802. 16 的 主要 目的 是 提供 宽带 无 线 接 人 ,因此 它 被 认为 是 一 种 取代 xDSL 等 有 限 宽 
带 接 和 人 的 有 力 蔡 代 者 。 该 标准 的 主要 优势 在 于 可 以 快速 .灵活 地 进行 网 络 部 署 ,从 而 降低 网 
络 的 建设 成 本 。 对 于 城市 等 人 口 密集 区 域 和 农村 等 没有 有 线 网 络 基础 的 网 络 建设 ,无线 宽 
带 接 人 设备 的 优势 是 非常 明显 的 。 

WiMAX/802. 16 网 络 体系 包括 : 核心 网 .用户 基站 (SS)、 基 站 (BS) .中继站 (RS) 用户 
终端 设备 (TE) 和 网 管 。 参 考 模型 分 为 非 漫游 模式 和 漫游 模式 ,网 络 实体 包括 接 入 网 、 连 接 
服务 网 络 ; 接口 R1 至 R5 为 网 络 工作 组 初步 确定 了 在 Releasel 规范 中 定义 的 开放 接口 , 接 
口 R6 至 R8 为 后 续 版 本 中 考虑 开放 的 接口 。 

WiMAX/802. 16 能 够 支持 多 种 业务 ,采用 面向 连接 机 制 ,根据 不 同业 务 需求 提供 端 到 
端的 QoS。IEEE 802. 16 定义 了 四 种 业务 类 型 ,并 对 每 种 业务 类 型 的 带宽 请 求 方式 进行 了 
规定 (优先 级 从 高 到 低 ): 

(1) 主动 授权 业务 (UGS); 

(2) 实时 轮 询 业 务 (rtPS); 

(3) 非 实 时 轮 询 业 务 (nrtPS); 

(4) 尽力 而 为 (BE) 业 务 。 


2. WiMAX/802.16 安全 


WiMAX/802. 16 标准 为 无 线 空中 接口 分 别 定义 了 介质 访问 控制 (MAC) 层 和 物理 层 。 

在 IEEE 802. 16 标准 中 ,定义 了 物理 层 实现 的 5 种 方式 , 即 WMAN 一 SC、WMAN 一 
SCa`WMAN 一 OFDM、WMAN 一 OFDMA 和 WirelessHUMAN。 物理 层 的 关键 技术 有 : 
双 工 复 用 方式 .载波 带宽 .OFDM 和 OFDMA、 自 适应 调制 .多 天 线 技术 等 。 

MAC 层 分 成 三 个 子 层 : 汇聚 子 层 (Convergence Sublayer, CS)、 公 共 部 分 子 层 
(Common Part Sublayer,CPS) ,安全 子 层 (Privacy Subayer,PS)。CS 层 根 据 提供 服务 的 不 
同 , 提 供 不 同 的 功能 。 对 于 IEEE 802. 16 来 说 ,能 提供 的 服务 包括 数字 音频 /视频 广播 、 数 
字 电 话 、 异 步 传输 模式 ATM、 因 特 网 接 入 、 电 话 网 络 中 无 线 中 继 和 帧 中 继 等 。CPS 是 MAC 
的 核心 部 分 ,主要 功能 包括 系统 接 入 .带宽 分 配 、 连 接 建立 和 连接 维护 等 。PS 层 提供 基站 和 
用 户 站 之 间 的 保密 性 , 它 包 括 两 个 部 分 : 一 是 加 密封 装 协议 ,负责 空中 传输 的 分 组 数据 的 加 
密 ; 二 是 密 钥 管理 协议 ,负责 基站 到 用 户 站 之 间 密 钥 的 安全 发 放 。 

WiMAX(Worldwide interoperability for Microwave Access) 即 全 球 微波 接 入 互 操作 
性 。WiMAX 系统 主要 有 两 个 技术 标准 ,一 个 是 指 满足 固定 宽带 无 线 接 入 的 WiMAX 802. 
16d 标准 ; 另 一 个 是 满足 固定 和 移动 的 宽带 无 线 接 人 技术 WiMAX 802. 16e 标准 。 

无 线 城 域 网 WiMAX/802. 16 参考 模型 如 图 5-5 所 示 。 

从 图 5-5 中 可 知 ，WiMAX/IEEE 802. 16 系统 包括 两 个 平面 ,数据 /控制 平面 与 管理 平 
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图 5-5 IEEE 802. 16 参考 模型 


面 。 系 统 在 数据 /控制 平面 实现 的 功能 主要 是 保证 数据 的 正确 传输 。 因 此 ,数据 /控制 平面 
在 定义 了 必要 的 传输 功能 之 外 ,还 需要 定义 一 些 控制 机 制 来 保障 传输 的 顺利 进行 。 而 管理 
平面 中 定义 的 管理 实体 ,分 别 与 数据 /控制 平面 的 功能 实体 相对 应 ,通过 与 数据 /控制 平面 中 
实体 的 交互 ,管理 实体 可 以 协助 外 部 的 网 络 管理 系统 完成 有 关 的 管理 功能 。 下 面 主要 讨论 
WiMAX/802. 16 系统 的 数据 /控制 平面 。 

WiMAX/802. 16 标准 为 无 线 空中 接口 分 别 定义 了 介质 访问 控制 (MAC) 层 和 物理 层 。 
其 中 MAC 层 又 可 以 划分 为 3 个 子 层 ,分 别 是 : 面向 业务 的 汇聚 子 层 (CS) ,公共 部 分 子 层 和 
安全 子 层 。 如 图 5-5 所 示 ,面向 业务 的 汇聚 子 层 通过 业务 汇聚 服务 访问 点 向 上 面 的 外 部 网 
络 提供 数据 服务 。 而 公共 部 分 子 层 则 通过 MAC 服务 访问 点 为 面向 业务 的 汇聚 子 层 提供 服 
务 。 注 意 ,公共 部 分 子 层 和 安全 子 层 之 间 并 不 存在 服务 访问 点 ,这 是 因为 安全 子 层 只 是 借 
一 套 完整 的 加 密 算法 来 对 需要 发 送 的 数据 进行 加 密 ,并 不 存在 提供 某 种 服务 的 概念 。 


5.2.3 蓝牙 网 络 安全 
1. 蓝牙 技术 概述 


蓝牙 (Bluetooth) 是 一 种 支持 设备 短 距 离 通信 (通常 为 10 米内 ) 的 无 线 电 技术 。 能 在 包 
括 移动 电话 .PDA 无 线 耳 机 、 笔 记 本 电脑 、 相 关外 设 等 众多 设备 之 间 进 行 无 线 信息 交换 。 
利用 “蓝牙 ”技术 ,能 够 有 效 地 简化 移动 通信 终端 设备 之 间 的 通信 ,也 能 够 成 功 地 简化 设备 与 
因特网 Internet 之 间 的 通信 ,从 而 数据 传输 变 得 更 加 迅速 高 效 ,为 无 线 通信 拓宽 道路 。 

蓝牙 采用 分 散 式 网 络 结构 以 及 快 跳 频 和 短 包 技术 ,支持 点 对 点 及 点 对 多 点 通信 ,工作 在 
全 球 通用 的 2. 4GHz ISM( 即 工业 、 科 学 、 医 学 ) 频 段 , 其 数据 速率 为 1Mbps。 采 用 时 分 双 工 
传输 方案 实现 数据 传输 。 


2. 蓝牙 技术 的 特点 


蓝牙 技术 是 一 个 开放 性 、 短 距离 无 线 通信 的 标准 , 它 可 以 用 来 在 较 短 距离 内 取代 多 种 有 
线 电缆 连接 方案 ,通过 统一 的 短 距离 无 线 链 路 在 各 种 数字 设备 之 间 实 现 方 使 ,快捷 、 灵 活 , 安 
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全 、 低 成 本 、 小 功 耗 的 语音 和 数据 通信 。 

为 保证 在 复杂 的 无 线 环境 中 能 够 安全 可 靠 地 工作 ,蓝牙 技术 采用 “ 跳 频 ”和 “快速 确认 ” 
技术 以 确保 链 路 稳定 。 理 论 上 蓝牙 技术 所 采用 的 “ 跳 频 ” 技 术 可 达到 每 秒 1600 次 ,共有 78 
个 可 用 的 信道 。 

蓝牙 技术 支持 三 种 信号 发 射 功 率 , 分 别 为 ImW、2. 5mW 和 100mW。 标 准 中 所 制定 的 
各 种 发 射 功 率 对 应 覆盖 范围 分 别 为 10m、20m 和 100m。 但 是 ,无 线 信道 在 传输 过 程 中 受到 
的 影响 因素 较 多 ,发 射 功 率 与 覆盖 范围 之 间 的 关系 难以 准确 计算 。 此 外 ,材料 ,墙壁 和 其 他 
2. 4GHz 信号 的 干扰 都 可 能 影响 蓝牙 信号 的 覆盖 范围 。 

蓝牙 支持 最 大 为 1Mbps 的 数据 流量 。 由 于 需要 考虑 跳 频 、 纠 错开 销 、 协 议 开 销 、 加 密 和 
其 他 的 因素 ,因此 有 效 净 荷 传输 的 流量 大 约 为 700 一 800kbps, 这 对 于 以 替代 有 线 电缆 为 目 
标的 蓝牙 技术 而 言 已 经 足够 了 。 其 他 工作 在 2. 4GHz 的 无 线 通信 设备 ,例如 IEEE 802. 11b 
的 WLAN 也 会 对 蓝牙 设备 的 信号 造成 干扰 。 

蓝牙 是 一 个 开放 性 、 低 功 耗 , 低 成 本 、 短 距离 的 无 线 通信 标准 ,采用 FM 调制 方式 以 抑制 
干扰 .防止 信号 衰减 并 降低 设备 的 复杂 性 ; 同时 ,蓝牙 以 时 分 双 工 (TDD) 方 式 进行 通信 ,其 
基带 协议 是 电路 交换 和 分 组 交换 的 组 合 。 单 个 跳 频 频率 发 送 一 个 同步 分 组 ,每 个 分 组 可 以 
占用 一 个 至 五 个 时 际 。 蓝 牙 技术 支持 异步 数据 信道 (ACL), 或 者 三 个 并 发 的 语音 信道 
(SCO) ,并 且 也 支持 单个 信道 同时 传送 异步 数据 和 同步 语音 。 每 一 个 语音 信道 支持 64kbps 
同步 语音 ; 异步 信道 可 以 支持 非 对 称 连接 ,两 个 结 点 的 数据 速率 发 别 为 721kbps 和 
57. 6kbps, 也 可 以 支持 432. 6kbps 的 对 称 连接 。 蓝 牙 采用 前 向 纠 错 (FEC) 编 码 技术 ,包括 
1/3FEC、2/3FEC 和 自动 重 传 请 求 (ARQ) ,以 减少 重 发 的 次 数 , 降 低 远 距离 传输 时 的 随机 噪 
声 影响 。 然 而 ,由 于 增加 了 元 余 信息 , 增 加 了 开销 ,使 数据 的 流量 减少 。 

蓝牙 4.0 是 2012 年 最 新 发 布 的 蓝牙 版 本 ,是 3.0 的 升级 版 本 ; 较 3.0 版 本 具有 更 省 
电 、 成 本 低 .3 毫秒 低 延 迟 , 超 长 有 效 连接 距离 .AES-128 加 密 等 优点 ; 通常 用 在 蓝牙 耳机 、 
蓝牙 音箱 等 移动 设备 上 。 

蓝牙 4.0 将 三 种 技术 规格 集 为 一 体 , 包 括 传统 蓝牙 技术 、 高 速 技术 和 低 耗 能 技术 ,与 
3.0 版 本 相 比 最 大 的 不 同 就 是 低 功 耗 。4. 0 版 本 的 功 耗 较 老 版 本 降低 了 90%, 比 上 一 版 本 
更 省 电 。 

随 着 蓝牙 技术 由 手机 ,游戏 .耳机 ,便携 电脑 和 汽车 等 传统 应 用 领域 向 物 联 网 、 医 疗 等 新 
领域 的 扩展 ,对 低 功 耗 的 要 求 会 越 来 越 高 。4. 0 版 本 强化 了 蓝牙 在 数据 传输 上 的 低 功 耗 
性 能 。 

低 功 耗 版 本 使 蓝牙 技术 得 以 延伸 到 采用 纽扣 电池 供电 的 一 些 新 型 产品 中 。 蓝 牙 低 耗 能 
技术 是 基于 蓝牙 低 耗 能 无 线 技术 核心 规格 的 升级 版 ,为 开拓 物 联网 市 场 莫 定 了 基础 。 


3. 蓝牙 协议 


蓝牙 标准 体系 中 的 协议 按 特 别 兴趣 小 组 SIG 的 关注 程度 分 为 四 层 : 核心 协议 ,串口 仿 
真 协 议 (RFCOMM) .电话 控制 协议 (Telephone Control Protocol Specification,TCS) 和 选用 
协议 。 

核心 协议 包括 基带 (Base-Band, BB) 协 议 、 链 路 管理 协议 (Link Manager Protocol， 
LMP) 、 敢 辑 链 路 控制 适 配 协议 (Logic Link Control and Adaptation Protocol,L2CAP) 、 服 
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务 发 现 协 议 (Service Discovery Protocol,SDP) 。 

选用 协议 包括 点 对 点 协议 (Point to Point Protocol, PPP)、 网 际 协议 (IP) ,传输 控制 协 
议 (TCP) 、 用 户 数据 报 协议 (User Datagram Protocol, UDP) 、 对 象 交换 协议 (OBEX) .无 线 
应 用 协议 CWAP) 、 电 子 名 片 (vCard) 和 电子 日 历 (vCaD) 等 。 

除 上 述 协 议 以 外 ,蓝牙 标准 还 定义 了 主机 控制 接口 (Host Controller Interface, HCI) ， 
它 为 基带 控制 器 .连接 管理 器 、 硬 件 状态 和 控制 寄存 器 提供 命令 接口 。 

蓝牙 核心 协议 由 SIG 制定 的 蓝牙 专用 协议 组 成 , 绝 大 部 分 蓝牙 设备 都 需要 核心 协议 ， 
而 其 他 协议 则 根据 应 用 的 需要 而 定 。 电 缆 蔡 代 协 议 、 电 话 控制 协议 和 被 采用 的 协议 在 核心 
协议 的 基础 上 构成 面向 应 用 的 协议 。 


4. 蓝牙 网 络 的 拓扑 结构 


蓝牙 网 络 的 拓扑 结构 如 图 5-6 所 示 。 蓝 牙 支持 两 种 连接 , 即 点 对 点 和 点 对 多 点 连接 ,这 
样 就 形成 了 两 种 不 同 的 网 络 拓扑 结构 : 微微 网 (Piconet) 和 散射 网 络 (Scatternet)。 微 微 网 
中 只 有 一 个 主 端 设备 (Master) ,最 多 支持 七 个 从 端 设备 (Slave) 与 主 端 设备 通信 。 主 端 设 备 
以 不 同 的 跳 频 序列 来 识别 从 端 设 备 ,并 与 之 通信 。 若 干 个 微微 网 形成 一 个 散射 网 络 ,蓝牙 设 
备 既 可 以 作为 一 个 微微 网 中 的 主 端 设备 ,也 可 以 在 另 一 个 微微 网 中 作为 从 端 设备 。 
@ 主 丧 设备 


〇 从 端 设 备 


微微 网 散射 网 
图 5-6 蓝牙 网 络 的 拓扑 结构 


多 个 微微 网 可 以 连接 在 一 起 ,组 成 更 大 规模 的 网 络 , 靠 跳 频 顺序 识别 每 一 个 微微 网 , 同 
一 个 微微 网 的 所 有 用 户 都 与 这 个 跳 频 顺序 同步 ,其 拓扑 结构 可 以 称 为 “多 微微 网 ”结构 。 在 
一 个 “多 微微 网 ”中 ,在 带 有 10 个 全 负载 的 独立 微微 网 的 情况 下 ,全 双 工 数据 速率 可 超过 
6M bps。 


5. 蓝牙 的 工作 原理 


1) 蓝牙 通信 的 主 从 关系 

蓝牙 技术 规定 每 一 对 设备 之 间 进 行 蓝牙 通信 时 ,必须 一 个 为 主 端 设备 , 另 一 个 为 从 端 设 
备 ,才能 进行 通信 。 通 信和 刚 开始 时 ,必须 由 主 端 设备 发 起 配对 呼叫 请 求 , 通 信和 链 路 建立 成 功 
后 ,双方 即 可 收发 数据 。 理 论 上 ,一 个 蓝牙 主 端 设备 .可 同时 与 7 个 蓝牙 从 端 设备 进行 通信 。 
一 个 具备 蓝牙 通信 功能 的 设备 ,可 以 在 两 个 角色 间 切 换 , 平 时 工作 在 从 模式 ,等 待 其 他 主 设 
备 来 连接 ,需要 时 ,转换 为 主 模式 ,向 其 他 设备 发 起 呼叫 。 一 个 蓝牙 设备 以 主 模式 发 起 呼叫 
时 ,需要 知道 对 方 的 蓝牙 地 址 和 配对 密码 等 信息 ,配对 完成 后 ,可 直接 发 起 呼叫 。 
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2) 蓝牙 的 呼叫 过 程 

蓝牙 主 端 设备 发 起 呼叫 ,首先 是 查找 , 找 出 周围 处 于 可 被 查找 的 蓝牙 设备 。 主 端 设备 找 
到 从 端 蓝牙 设备 后 ,与 从 端 蓝牙 设备 进行 配对 ,此 时 需要 输入 从 端 设备 的 PIN 码 , 也 有 些 设 
备 不 需要 输入 PIN 码 。 配 对 完成 后 ,从 端 蓝牙 设备 会 记录 主 端 设备 的 信任 信息 ,此 时 主 端 
即 可 向 从 端 设备 发 起 呼叫 ,已 配对 的 设备 在 下 次 呼叫 时 ,不 再 需要 重新 配对 。 已 配对 的 设 
备 ,作为 从 端的 蓝牙 设备 也 可 以 发 起 建 链 请 求 ,但 用 于 数据 通信 的 蓝牙 模块 一 般 不 发 起 呼 
叫 。 链 路 建立 成 功 后 , 主 从 两 端 之 间 即 可 进行 双向 的 数据 或 语音 通信 。 在 通信 状态 下 , 主 端 
和 从 端 设备 都 可 以 发 起 断 链 请 求 , 断 开 蓝牙 链 路 。 


6. 蓝牙 安全 分 析 


1) 蓝牙 技术 的 安全 隐患 

蓝牙 采用 了 在 2. 4GHz 频段 上 进行 跳 频 扩展 的 工作 模式 ,这 种 模式 本 身 具 有 一 定 的 通 
信和 隐藏 性。 扩 频 通信 可 以 允许 比 常规 无 线 通信 低 得 多 的 信 噪 比 ,并 且 蓝 牙 定 义 为 近 距 离 使 
用 ,因此 其 发 射 功 率 可 以 低 至 lmW, 这 在 一 定 程度 上 减少 了 其 无 线 电 波 的 辐射 范围 ,增加 了 
信息 的 隐藏 性。 然而 ,从 更 为 严格 的 安全 角度 来 分 析 ,物理 信道 上 的 这 些 基 本 的 安全 措施 对 
于 保证 用 户 的 信息 安全 是 并 不 够 的 。 在 基于 蓝牙 技术 的 物 联网 应 用 中 ,其 安全 风险 不 容 忽 
视 。 蓝 牙 技术 主要 的 安全 风险 如 下 。 

(1) 蓝牙 采用 ISM 2. 4GHz 的 频段 收发 无 线 电信 号 ,这 与 许多 同类 通信 协议 产生 冲突 ， 
例如 802. 11b/802. 11a/802. 11n 等 ,容易 对 蓝牙 通信 产生 干扰 ,使 通信 失效 ， 

(2) 无 线 电信 号 在 传送 过 程 中 容易 被 截取 、 分 析 , 失 去 信息 的 保密 性 ; 

(3) 通信 对 端 设备 身份 容易 被 冒充 ,使 通信 失去 可 靠 性 。 

针对 以 上 安全 风险 ,在 蓝牙 系统 中 采用 跳 频 扩展 技术 (Frequency-Hopping Spread 
Spectrum,FHSS) ,使 蓝牙 通信 能 够 抵抗 同类 电磁 波 的 干扰 ; 并 采用 了 加 密 技术 来 提高 数据 
的 保密 性 ; 采用 身份 鉴别 机 制 来 确保 通信 实体 之 间 的 可 靠 数据 传输 。 虽 然 蓝牙 系 统 所 用 的 
跳 频 技术 已 经 提供 了 一 定 的 安全 措施 ,但 是 用 蓝牙 设备 组 建物 联网 时 仍 需要 对 网 络 层 和 应 
用 层 进 行 安全 管理 ,设置 更 为 复杂 的 安全 体系 。 

2) 蓝牙 的 安全 体系 架构 

蓝牙 的 安全 体系 架构 可 以 实现 对 业务 的 选择 性 访问 ,蓝牙 安全 架构 建立 在 L2CAP 层 
之 上 ,特别 是 RFCOMM 层 。 其 他 协议 层 对 蓝牙 架构 没有 什么 特别 的 处 理 , 它 们 有 自己 的 安 
全 特征 。 蓝 牙 安全 架构 允许 协议 栈 中 的 协议 强化 其 安全 策略 。 例 如 ,L2CAP 层 在 无 绳 电话 
方面 强化 了 蓝牙 安全 策略 ,RFCOMM 层 则 在 拨号 网 络 方面 强化 了 蓝牙 安全 策略 ,OBEX 在 
文件 传输 和 同步 应 用 方面 采用 自己 的 安全 策略 。 蓝 牙 安全 架构 提供 了 一 个 灵活 的 安全 框 
架 , 此 框架 指出 了 何 时 涉及 用 户 的 操作 ,下 层 协 议 层 需要 哪些 动作 来 支持 所 需 的 安全 检查 
等 。 在 蓝牙 系统 中 ,安全 架构 是 建立 在 链 路 级 安全 特征 之 上 的 ,蓝牙 技术 的 安全 体系 架构 如 
图 5-7 所 示 ,其 中 虚线 为 注册 过 程 , 实 线 则 为 查询 过 程 。 

安全 管理 器 是 蓝牙 安全 架构 中 最 重要 的 部 分 ,负责 存储 与 业务 和 设备 安全 相关 的 信息 ， 
响应 来 自 协议 或 者 应 用 程序 的 访问 需求 ,连接 到 应 用 程序 前 加 强 鉴 权 和 加 密 , 初 始 化 或 者 处 
理 来 自用 户 以 及 外 部 安全 控制 实体 的 输入 ,在 设备 级 建立 信任 连接 等 。 
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用 户 接口 
个 人 人 
应 用 层 应 用 层 | | 应 用 层 上 -| 管理 
"| 实体 
RFCOMM 层 安全 而 务 
( 牙 其 他 多 路 协议 ) 上---- 几 ------- 全 | 汗 一 一 
管理 害 | -| 数据 了 
| [~ 设备 | 
I2CAP 展 |-_--- el 上 -一 全 |_ 数据库 


下 


HCI 层 


链 路 管理 层 / 链 路 控制 器 


人 


隐藏 注册 
4 


图 5-7 蓝牙 的 安全 体系 结构 


7. 蓝牙 的 网 络 安全 模式 


蓝牙 标准 中 定义 了 3 种 网 络 安全 模式 : 非 安全 模式 .强制 业务 级 安全 模式 和 强制 链 路 
级 安全 模式 。 

1) 非 安全 模式 

在 非 安 全 模式 中 ,蓝牙 系统 无 任何 安全 需求 ,不 需要 任何 安全 服务 和 安全 机 制 的 保护 ， 
此 时 ,任何 设备 和 用 户 都 可 以 任何 类 型 的 服务 。 在 实际 应 用 中 ,建议 不 要 采用 非 安全 模式 。 

2) 强制 业务 级 安全 模式 

在 强制 业务 级 安全 模式 中 ,业务 级 安全 机 制 对 系统 的 各 个 应 用 和 服务 进行 安全 保护 , 包 
括 授权 访问 .身份 鉴别 和 加 密 传输 。 在 这 种 模式 下 ,加密 和 鉴别 发 生 在 逻辑 链 路 控制 和 适 配 
协议 (Logical Link Controller and Adaptation Protocol,L2CAP) 信 道 建立 之 前 。 

强制 业务 级 安全 模式 中 的 安全 管理 器 主要 包括 储存 安全 性 信息 ,应 答 请 求 、 强 制 鉴别 和 
加 密 等 关键 任务 。 设 备 的 3 个 信任 等 级 和 3 种 服务 级 别 , 分 别 存储 在 设备 数据 表 和 业务 数 
据 表 中 ,并 且 由 安全 管理 器 维护 。 

每 一 个 业务 通过 业务 安全 策略 库 和 设备 库 来 确定 其 安全 等 级 。 这 两 个 库 规定 了 : 

(1) 甲 设备 访问 乙 设 备 是 否 需要 授权 ; 

(2) 甲 设备 访问 乙 设备 是 否 需 要 身份 鉴别 ; 

(3) 甲 设备 访问 乙 设备 是 否 需 要 数据 加 密 传输 。 

强制 业务 级 安全 模式 规定 了 何 时 需要 和 用 户 交 互 ,以 及 为 了 满足 特定 的 安全 需求 ,协议 
层 之 间 必 须 进行 的 安全 行为 。 

安全 管理 器 是 这 个 安全 体系 结构 的 核心 部 分 , 它 主要 完成 以 下 几 项 任务 : 

(1) 存储 和 查询 有 关 服 务 的 相关 安全 信息 ; 
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(2) 存储 和 查询 有 关 设 备 的 相关 安全 信息 ; 

(3) 对 应 用 、 复 用 协议 和 L2CAP 协议 的 访问 请 求 ( 查 询 ) 进 行 响应 ; 

(4) 在 允许 与 应 用 建立 连接 之 前 ,实施 身份 鉴别 、 数 据 加 密 等 安全 措施 ; 

(5) 接收 并 处 理 GME 的 输入 ,以 在 设备 级 建立 安全 关系 ; 

(6) 通过 用 户 接 口 接收 并 处 理 用 户 或 应 用 的 个 人 识别 码 (Personal Identification 
Number,PIN) ,以 完成 身份 鉴别 和 加 密 。 

强制 业务 级 安全 模式 能 定义 设备 和 业务 的 安全 等 级 。 蓝 牙 设备 可 以 分 为 可 信任 设备 、 
不 可 信任 设备 和 未 知 设备 3 种 级 别 。 可 信任 设备 可 以 无 限制 地 访问 所 有 服务 ; 不 可 信任 设 
备 访问 业务 受到 限制 ; 而 未 知 设备 视 为 不 可 信任 设备 ,其 访问 业务 同样 受到 限制 。 

在 强制 业务 级 安全 模式 中 ,蓝牙 业务 的 安全 级 别 主要 由 以 下 3 个 方面 来 保证 : 

(1) 授权 要 求 : 在 授权 之 后 ,访问 权限 只 自动 赋 给 可 信任 设备 ,其 他 设备 需要 手工 授权 
才能 访问 ; 

(2) 鉴别 要 求 : 在 连接 到 一 个 应 用 之 前 ,远程 设备 必须 被 鉴别 ; 

(3) 加 密 要 求 : 在 访问 业务 发 生 之 前 ,连接 必须 切换 到 加 密 模式 。 

对 于 设备 和 业务 的 访问 权限 取决 于 安全 级 别 , 各 种 业务 可 以 事先 注册 ,对 于 这 些 业 务 访 
问 的 级 别 取决 于 业务 本 身 的 安全 机 制 。 

3) 强制 链 路 级 安全 模式 

在 强制 链 路 级 安全 模式 中 , 链 路 级 安全 机 制 对 所 有 的 应 用 和 业务 都 需要 实行 访问 授权 、 
身份 鉴别 和 加 密 传 输 。 这 种 模式 是 强制 业务 层 安 全 模式 的 极端 情况 ,可 以 通过 配置 安全 管 
理 器 并 清除 模块 存储 器 中 的 链 路 密 钥 来 达到 目的 ,在 强制 链 路 级 安全 模式 下 ,身份 鉴别 和 加 
密 发 生 在 链 路 建立 之 前 。 

强制 链 路 级 安全 模式 与 强制 业务 级 安全 模式 之 间 的 本 质 区 别 在 于 : 在 强制 业务 级 安全 
模式 下 ,蓝牙 设备 在 信道 建立 之 后 启动 安全 性 过 程 , 即 在 较 高 层 的 协议 上 完成 安全 性 过 程 ; 
而 在 强制 链 路 级 安全 模式 下 ,蓝牙 设备 则 是 在 信道 建立 之 前 启动 安全 性 过 程 , 即 在 低层 协议 
上 完成 安全 性 过 程 。 

蓝牙 系统 在 链 路 层 使 用 4 种 不 同 的 信息 安全 单元 来 保证 链 路 的 安全 : 蓝牙 单元 独立 地 
址 (BD_ADDR) ,业务 处 理 随 机 数 (RAND) 、 链 路 密 钥 、 加 密 密 钥 。 各 信息 安全 单元 的 长 度 
如 表 5-1 所 示 。 


表 5-1 蓝牙 验证 和 加 密 过 程 中 的 信息 安全 单元 


参 数 长 度 (bit) 
BD_ADDR 48 
RAND 128 
链 路 密 钥 128 
加 密 密 钥 8~128 


每 一 个 蓝牙 设备 都 有 一 个 唯一 的 蓝牙 单元 独立 地 址 (BD_ADDR), 它 是 一 个 48bit 的 
IEEE 地 址 ,没有 安全 保护 ; 业务 处 理 随机 数 (RAND) 也 称 为 会 话 密 钥 ,由 蓝牙 系统 随机 地 
生成 ; 链 路 密 钥 和 加 密 密 钥 在 初始 化 时 生成 ,它们 是 不 公开 的 ,加 密 密 钥 的 长 度 可 根据 需求 
配置 。 
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蓝牙 的 链 路 层 安 全 模式 是 通过 匹配 、 鉴 权 和 加 密实 现 的 。 密 钥 的 建立 是 通过 双向 的 链 
接 来 完成 的 ; 而 鉴 权 和 加 密 既 可 以 在 物理 链接 中 实现 ,也 可 以 通过 上 层 的 协议 来 实现 。 

(1) 匹配 。 

两 台 蓝 牙 设备 试图 建立 链接 时 ,个 人 识别 码 (PIN ) 与 一 个 随机 数 经 必要 的 信息 交换 和 
计算 创建 初始 密 钥 (Kis ) ,此 过 程 称 为 匹配 。 初 始 密 钥 在 校 验 器 向 申请 者 发 出 随机 数 时 
创建 。 

(2) 鉴 权 。 

鉴 权 是 蓝牙 设备 必须 支持 的 安全 特性 , 它 是 一 个 基于 “挑战 -应 答 ” 的 方案 ,在 这 个 方案 
中 ,申请 者 对 于 链 路 密 钥 和 加 密 密 钥 ,使 用 会 话 密 钥 经 2-MOV 协议 进行 验证 。 会 话 密 钥 指 
当前 申请 者 / 校 验 器 共享 的 同一 密 钥 , 校 验 器 将 挑战 申请 者 鉴 权 随 机 数 输入 ,该 输入 含有 鉴 
权 码 的 AU_RAND 标注 ,而 该 鉴 权 码 则 以 E, 标注 ,申请 者 向 校 验 器 返回 结果 SRES, 蓝牙 
鉴 权 过 程 的 工作 原理 如 图 5-8 所 示 。 


AU_RAND 去 | AU_RAND 
随机 
密 钥 El £1 一 一 一 窗 钥 
响应 SERS 
地 址 一 一 一 地 址 
ACO 值 ACO 值 
SERS’ SERS 


图 5-8 蓝牙 的 鉴 权 过 程 


在 蓝牙 系统 中 , 校 验 器 可 以 是 主 端 设备 ,也 可 以 是 从 端 设备 , 既 可 以 实施 单 向 鉴 权 ,也 可 
以 实施 双向 鉴 权 。 

(3) 加 密 。 

蓝牙 技术 采用 分 组 方式 保护 有 效 数据 。 对 分 组 报头 和 其 他 控制 信息 不 加 密 。 用 序列 密 
码 E。 对 有 效 载 荷 加 密 ,E。 对 每 一 个 有 效 荷 载重 新 同步 。 蓝 牙 的 加 密 过 程 如 图 5-9 所 示 。 

加 密 过 程 由 3 个 部 分 组 成 。 第 一 部 分 设备 初始 化 ,同时 生成 加 密 密 钥 Kc ,具体 计算 由 
蓝牙 Es 算法 执行 ; 第 二 部 分 由 E。 计算 出 加 密 有 效 荷 载 的 密 钥 ; 第 三 部 分 用 E。 生成 比特 
流 , 对 有 效 荷 载 进行 加 密 , 解 密 过 程 则 以 同样 的 方式 进行 。 


8. 蓝牙 的 密 钥 管理 


蓝牙 安全 体系 中 主要 使 用 3 种 密 钥 以 确保 安全 的 数据 传输 : 个 人 识别 码 (PIN) 、 链 路 密 
钥 和 加 密 密 钥 。 其 中 最 重要 的 是 链 路 密 钥 ,用 于 两 个 蓝牙 设备 之 间 的 相互 鉴别 。 

1) 个 人 识别 码 

个 人 识别 码 (Personal Identification Number,PIN) 是 一 个 由 用 户 选 择 或 固定 的 数字 ， 
长 度 可 以 为 1 一 16 个 字 节 ,通常 为 4 位 十 进 制 数 。 用 户 在 需要 时 可 以 改变 个 人 识别 码 , 以 增 
加 系统 的 安全 性 。 在 两 个 设备 分 别 输 入 个 人 识别 码 比 在 其 中 一 个 使 用 固定 的 个 人 识别 码 要 
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， 密 钥 长 度 | 
| | | 
及 ! | 长 度 限制 器 以 及 ! 
人 “| 大 重 定格 式 | 
链 路 密 钥 局 | | 
or | g | 明文 密 文 
| L_ | | 
上 1 
BD_ADDR 主 单元 | =| Eo 一 Eo 
时 钟 主 单元 : -| | 
| | 明文 / 密 文 
1 1 
1 1 
加 密 密 钥 计算 1。 加 密 有 效 荷载 密 乌 计算 1。 有 效 共 载 加 密 / 解 密 
图 5-9 蓝牙 的 加 密 与 解密 过 程 
安全 得 多 。 
2) 链 路 密 钥 
为 满足 不 同 的 蓝牙 应 用 需要 ,有 4 种 不 同 的 链 路 密 钥 。 这 4 种 链 路 密 钥 都 是 128 位 的 
随机 数 ,它们 分 别 是 ， 


(1) 单元 密 钥 KA: Ks 在 蓝牙 设备 安装 时 由 单元 A 产生 。 它 的 存储 只 需要 很 少 的 内 存 
单元 ,经 常用 于 蓝牙 设备 只 有 少量 内 存 或 此 蓝牙 设备 可 被 一 个 大 的 用 户 组 访问 的 场合 。 

(2) 联合 密 钥 Ka : Kas 由 单元 A 和 单元 B 产生 。 每 一 对 设备 有 各 自 的 联合 密 钥 ,在 需 
要 更 高 的 安全 性 时 使 用 。 

(3) 主 密 钥 Kwwes : 这 种 密 钥 在 主 设备 需要 同时 向 多 个 从 设备 传输 数据 时 使 用 ,在 本 次 
会 话 过 程 中 它 将 临时 替代 原来 的 链 路 密 钥 。 

(4) 初始 化 密 钥 Ki : 在 初始 化 过 程 中 使 用 ,用 于 保护 初始 化 参数 的 传输 。 

3) 加 密 密 钥 

加 密 密 钥 由 当前 的 链 路 密 钥 推算 而 来 。 每 次 需要 加 密 密 钥 时 它 会 自动 更 换 。 将 加 密 密 
钥 与 鉴 权 密 钥 分 离开 的 原因 是 可 以 使 用 较 短 的 加 密 密 钥 而 不 减弱 鉴 权 过 程 的 安全 性 。 

4) 密 钥 的 生成 与 初始 化 

密 钥 的 交换 发 生 在 初始 化 过 程 中 ,在 两 个 需要 进行 鉴 权 和 加 密 的 设备 上 分 别 完成 。 初 
始 化 过 程 包括 以 下 步骤 : 

(1) 生成 初始 化 密 钥 。 

(2) 鉴 权 。 

(3) 生成 链 路 密 钥 。 

(4) 交换 链 路 密 钥 。 

(5) 两 个 设备 各 自生 成 加 密 密 钥 。 

在 这 些 过 程 之 后 , 链 路 或 者 建立 成 功 或 者 建立 失败 。 
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5.2.4 ZigBee 网 络 安全 


ZigBee 技术 是 一 种 可 以 实现 短 距 离 无 线 通信 的 新 兴 技 术 , 它 以 功 耗 低 、 成 本 低 、 复 杂 程 
度 低 优胜 于 其 他 的 短 距 离 无 线 通信 技术 。ZigBee 这 一 名 称 (又 称 为 紫 蜂 协 议 ) 来 源 于 蜜蜂 
的 八字 有 舞 , 由 于 蜜蜂 (bee) 是 靠 飞 翔 和 * 喻 喻 ”(Zig) 地 拌 动 翅膀 的 “舞蹈 ”来 与 同伴 传递 花粉 
所 在 方位 信息 ,也 就 是 说 蜜蜂 依靠 这 样 的 方式 构成 了 群体 中 的 通信 和 网络。 

ZigBee 技术 以 往 称 为 HomeRFLite、RF-Easylink 或 FireFly, 如 今 统一 称 为 ZigBee。 
ZigBee 是 一 种 类 似 于 蓝牙 技术 和 RFID 技术 的 无 线 通信 技术 ,主要 应 用 于 短 距 离 内 对 传输 
速度 要 求 不 高 的 电子 通信 设备 之 间 的 数据 传输 ,以 及 典型 的 有 周期 性 的 、 间 和 菊 性 反应 时 间 
的 数据 传输 。 

ZigBee 技术 作为 短 距离 无 线 传感器 网 络 的 通信 标准 ,可 以 广泛 应 用 于 家 庭 居 住 控制 、 
商业 建筑 自动 化 和 企业 生产 管理 等 领域 。ZigBee 技术 标准 由 ZigBee 技术 联盟 于 2004 年 扒 
出 ,该 联盟 是 一 个 由 半导体 厂商 .技术 供应 商 和 原始 设备 制造 商 结盟 的 组 织 。 由 于 具有 低 功 
耗 、 低 延 时 、 较 长 电池 寿命 等 优点 ,使 得 它 在 低速 率 无 线 传 感 器 网 络 中 扮演 着 非常 重要 的 角 
色 ,市 场 前 景 非常 广阔 。 


1. ZigBee 技术 的 主要 特点 


ZigBee 技术 相对 于 其 他 的 无 线 通信 技术 ,具有 功 耗 低 .成 本 较 低 、 较 短 的 传输 范围 .时 
延 短 、 网 络 容量 大 、 数 据 传 输 可 靠 性 较 高 以 及 安全 性 高 等 主要 特点 。 

1) 功 耗 低 

功 耗 低 是 ZigBee 技术 的 一 个 主要 特点 。 由 于 ZigBee 的 传输 率 低 ,传输 数据 量 很 少 , 并 
且 采 用 了 休眠 模式 ,因此 ZigBee 设备 非常 省 电 。 据 估计 ,ZigBee 设备 仅 靠 两 节 电 池 就 可 以 
维持 长 达 六 个 月 到 两 年 时 间 所 需要 的 电能 。 

2) 成 本 较 低 

ZigBee 技术 成 本 较 低 ,原因 是 其 协议 简单 ,因而 所 需 的 内 存 空 间 小 。ZigBee 不 仅 协 议 
是 免 专利 费 的 ,而 且 芯 片 价格 低 , 每 块 芯片 只 需要 两 美元 。 

3) 较 短 的 传输 范围 

一 般 来 说 ,ZigBee 技术 的 室内 传输 距离 在 几 十 米 以 内 ,室外 传输 距离 在 几 百 米 以 内 , 属 
于 近 距 离 传 输 技术 。 

4) 时 延 短 

ZigBee 技术 从 休 眼 状态 转 入 工作 状态 只 需要 15ms, 搜 索 设备 时 延 为 30ms, 活 动 设备 信 
道 接 入 时 延 为 15ms。 作 为 比较 ,蓝牙 技术 时 延 需要 3 一 10s,Wi-Fi 则 需要 3s。 

5) 网 络 容量 大 

ZigBee 的 结 点 编 址 为 两 个 字 节 ,其 网 络 结 点 容量 理论 上 可 达 65 535。 

6) 数据 传输 时 的 可 靠 性 较 高 

ZigBee 技术 中 避免 碰撞 的 机 制 通过 为 宽带 预 留 时 隙 ,可 以 避免 传输 数据 时 发 生 竞 争 和 
冲突 。 并 且 , 通 过 ZigBee 技术 发 送 的 每 个 数据 包 是 否 被 对 方 接收 都 必须 得 到 完全 的 确认 ， 
这 就 使 得 ZigBee 技术 在 数据 传输 环节 中 具有 较 高 的 可 靠 性 。 


LP 


SA 
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7) 安全 性 高 
ZigBee 提供 了 基于 循环 元 余 校 验 的 数据 包 完 整 性 检查 机 制 ,支持 鉴 权 和 认证 ,采用 
AES-128 高 级 加 密 算法 ,从 而 保护 数据 荷载 和 防止 攻击 者 骨 充 合法 设备 。 


2. ZigBee 安全 技术 分 析 


ZigBee 是 针对 低速 率 无 线 个 人 局 域 网 ,基于 IEEE 802. 15.4 介质 访问 控制 层 和 物理 层 
标准 ,并 在 其 基础 上 开发 的 一 组 包含 组 网 、 安 全 和 应 用 软件 方面 的 技术 标准 。 在 国际 上 , 主 
要 由 IEEE 802. 15. 4 小 组 和 ZigBee 联盟 这 两 个 组 织 负责 ZigBee 标准 规范 的 制定 。ZigBee 
建立 在 IEEE 802. 15.4 标准 之 上 , 它 确定 了 可 在 不 同 制造 商 之 间 共享 的 应 用 纲要 。IEEE 
802. 15.4 仅 定 义 了 物理 层 和 数据 链 路 层 。ZigBee 协议 栈 安 全 体系 结构 如 图 5-10 所 示 。 


一 一 一 
应 用 层 
应 用 框架 ZigBee 设 备 对 象 
应 用 支持 子 层 (APS) 
安全 管理 宫 自 管理 
去 全 三 生 APs 安 全 管理 | [APs 信 息 管理 | Eg 
服 务 | 一 | 管理 
提供 网 络 层 平台 ZigBee 
协议 
上 -二 一 | 网 络 安全 管理 | | 网 络 管理 | | 路 由 管理 ] 
MAC 层 
IEEE 
802.15.4 
物理 层 
2.4GHz 868/915MHz | 
1 


图 5-10 ”ZigBee 协议 栈 安全 体系 结构 


1) 物理 层 

ZigBee 兼容 的 产品 工作 在 IEEE 802. 15.4 的 物理 层 之 上 ,可 以 工作 在 全 球 通用 标准 的 
2. 4GHz、 美 国标 准 的 915MHz 和 欧洲 标准 的 868MHz 三 个 的 频段 上 ,并 且 在 这 三 个 频段 上 
分 别 具 有 250kbps、40kbps 和 20kbps 的 最 高 数据 传输 速率 。 当 使 用 2. 4GHz 频段 时 ， 
ZigBee 技术 室内 传输 距离 为 10m, 室 外 传输 距离 则 能 达到 200m; 当 使 用 其 他 频段 ,室内 传 
输 距离 为 30m, 室 外 传输 距离 则 能 达到 1000m。 实 际 传输 中 ,其 传输 距离 根据 发 射 功率 确 
定 , 可 以 变化 调整 。 

由 于 ZigBee 使 用 的 是 开放 频段 ,而 这 些 频段 已 经 使 用 了 多 种 无 线 通信 技术 ,因此 为 了 
避免 互相 干扰 ,各 个 频段 均 采用 直接 序列 扩 频 技术 。 物 理 层 的 直接 序列 扩 频 技术 允许 设备 
无 须 闭 环 同步 ,在 三 个 不 同 频段 都 采用 相位 调制 技术 。 在 2. 4GHz 频段 采用 较 高 阶 的 
QPSK 调制 技术 ,以 达到 250kbps 的 速率 ,并 降低 工作 时 间 ,减少 功率 消耗 。 在 868MHz 和 
915MHz 频段 则 采用 BPSK 的 调制 技术 。 与 2. 4GHz 频段 相 比 ,868MHz 和 915MHz 频段 
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为 低频 频段 ,无 线 传输 的 损耗 较 少 ,传输 距离 较 远 。 

2) 数据 链 路 层 

IEEE 802 系列 标准 将 数据 链 路 层 分 为 逻辑 链 路 控制 层 (LLC) 和 介质 接 入 控制 层 
(MAC) 两 个 子 层 。 偿 辑 链 路 控制 层 负 责 传输 的 可 靠 性 保障 和 控制 ,数据 包 的 分 段 与 重组 、 
数据 包 的 顺序 传输 工作 ,为 802 标准 系列 所 共用 。 而 介质 接 入 控制 层 子 层 的 协议 则 依赖 于 
各 自 的 物理 层 。IEEE 802. 15.4 的 MAC 层 能 支持 多 种 多 辑 链 路 控制 层 标 准 , 通 过 业务 相 
关 的 汇聚 子 层 协议 承载 。ZigBee 数据 链 路 层 安 全 帧 结构 如 图 5-11 所 示 。 


引 步 站 站 站 生效 加 密 MAC 消息 完整 性 
同步 物理 层 头 部 | MAC 层 头 部 辅助 头 部 有 效 载荷 模 验 码 


5-11 ZigBee 数据 链 路 层 安全 帧 结构 


其 中 ,辅助 头 部 (Auxiliary Header,AH) 携 带 安 全 信息 ,消息 完整 性 校 验 码 (MIC) 提 供 
数据 完整 性 保护 检查 ,其 长 度 有 0、32、64、128 位 可 供 选 择 。 对 于 数据 帧 ,MAC 层 只 能 保证 
单 跳 通信 安全 ,为 了 提供 多 跳 通 信 的 安全 保障 ,必须 依靠 上 层 提供 的 安全 服务 。 

IEEE 802.15.4 的 MAC 协议 包括 以 下 功能 : 设备 之 间 无 线 链 路 的 建立 .维护 和 结束 ; 
确认 模式 的 帧 传输 与 接收 ; 信道 接 人 控制 ; 帧 校 验 ; 预 留 时 际 管 理 ; 广播 信息 管理 等 。 同 
时 ,使 用 CSMA-CA 机 制 和 应 答 重 传 机 制 ,实现 了 信道 的 共享 及 数据 帧 的 可 靠 传输 。 

3) 网 络 层 

网 络 层 的 主要 功能 是 负责 拓扑 结构 的 建立 和 网 络 连接 的 维护 ,包括 设计 连接 和 断 开 网 
络 时 所 采用 的 机 制 、 帧 传输 过 程 中 所 采用 的 安全 性 机 制 、. 设 备 的 路 由 发 现 和 转交 机 制 等 。 

ZigBee 网 络 层 对 帧 采取 的 保护 机 制 与 数据 链 路 层 相同 ,为 了 保证 帧 能 够 正确 传输 , 帧 
格式 中 也 加 入 了 辅助 头 部 (AH) 和 消息 完整 性 校 验 码 (MIC)。 网 络 层 安 全 帧 结构 如 图 5-12 
所 示 。 


同步 物理 层 头 部 | MAC 层 头 部 | 网 络 层 头 部 | “辅助 头 部 “| 加 密 MAC 


消息 完整 性 
有 效 载荷 校 验 码 


图 5-12 ZigBee 网 络 层 安全 帧 结构 


网 络 层 的 主要 思想 是 首先 广播 路 由 信息 ,接着 处 理 接收 到 的 路 由 信息 ,如 判断 数据 帧 来 
源 , 然 后 根据 数据 帧 中 的 目的 地 址 采取 相应 机 制 将 数据 帧 传送 出 去 。 在 传送 的 过 程 中 通常 
是 利用 链接 密 钥 对 数据 进行 加 密 处 理 , 如 果 链 接 密 钥 不 可 用 , 则 网 络 层 将 利用 网 络 密 钥 进行 
保护 。 由 于 网 络 密 钥 在 多 个 设备 中 使 用 ,可 能 带 来 内 部 攻击 ,但 是 它 的 存储 开销 更 小 。 在 管 
理 方面 ,网 络 层 主要 实现 网 络 安全 管理 、 网 络 管理 和 路 由 管理 。 

4) 应 用 层 

应 用 层 主要 负责 把 不 同 的 应 用 映射 到 ZigBee 网 络 ,主要 包括 三 部 分 : 与 网 络 层 连接 的 
应 用 支持 子 层 (Application Support Sublayer, APS)、ZigBee 设备 对 象 (ZigBee Device 
Obiect,ZDO) 和 ZigBee 的 应 用 层 框 架 (Application Framework,AF) 。 

应 用 支持 子 层 (APS) 提供 了 两 个 接口 ,分别 是 应 用 支持 子 层 数据 实体 服务 访问 点 
(APSDE-SAP) 和 应 用 支持 子 层 管理 实体 服务 访问 点 (APSME-SAP)。 同 时 ,应 用 支持 子 层 
的 接口 是 从 应 用 商定 义 的 应 用 对 象 到 ZDO 之 间 的 服务 集 。 应 用 支持 子 层 数据 实体 提供 的 
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数据 通信 是 在 相同 的 网 络 中 ,在 一 个 或 者 多 个 应 用 实体 之 间 的 。APS 管理 实体 提供 的 主要 
是 维护 数据 库 的 服务 ,也 有 绑 定 设备 等 服务 。 

ZigBee 应 用 层 安 全 是 通过 应 用 支持 子 层 (APS) 提 供 的 ,根据 不 同 的 应 用 需求 采用 不 同 
的 密 钥 ,主要 使 用 链接 密 钥 和 网 络 密 钥 。 应 用 层 安 全 帧 格式 如 图 5-13 所 示 。 


MAC 层 


同步 物理 层 
同步 | 头 部 | 头 部 


网 络 层 


应 用 支持 子 层 让 加 密 MAC | 消息 完整 性 
头 部 | min 有 效 载荷 | ” 校 验 码 


图 5-13 ”ZigBee 应 用 层 安全 帧 格式 


APS 提供 的 安全 服务 有 密 钥 建立 、 密 钥 传 输 、 设 备 服务 管 理 。 密 钥 建 立 在 两 个 设备 之 
间 进 行 ,包括 4 个 步骤 : 交换 暂时 数据 、 生 成 共享 密 钥 、 获 得 链接 密 钥 和 确认 链接 密 钥 。 密 
钥 传输 服务 是 指 设备 之 间 安 全 传输 密 钥 。 设 备 服务 管理 包括 更 新 设备 和 移 除 设备 ,更 新 设 
备 服务 提供 一 种 安全 的 方式 通知 其 他 设备 有 第 三 方 设备 需要 更 新 , 移 除 设备 则 是 通知 有 设 
备 不 符合 安全 需要 ,要 被 删除 。 


5.2.5 超 宽 带 网 络 安全 


超 宽带 (Ultra Wide Band,UWB) 技 术 起 源 于 20 世纪 50 年 代 末 ,早期 主要 作为 一 种 军 
用 通信 技术 ,在 雷达 探测 和 定位 等 军事 领域 中 使 用 。2002 年 2 月 ,美国 联邦 通信 委员 会 批 
准 超 宽带 技术 进入 民用 领域 ,普通 用 户 不 需要 申请 即 可 使 用 。 


1. 超 宽带 技术 的 特点 


作为 一 种 重要 的 近 距 离 通信 技术 , 超 宽带 技术 在 需要 传输 宽带 感知 信息 的 物 联网 应 用 
领域 具有 广阔 的 应 用 前 景 。 与 现 有 的 无 线 通信 技术 相 比 , 超 宽带 技术 具有 以 下 主要 特点 : 

1) 低 成 本 

UWB 产品 不 再 需要 复杂 的 射频 转换 电路 和 调制 电路 , 它 只 需要 一 种 数字 方式 来 产生 脉 
冲 ,并 对 脉冲 进行 数字 调制 ,而 这 些 电 路 都 可 以 被 集成 到 一 个 芯片 上 。 因 此 ,其 收发 电路 的 成 
本 很 低 , 在 集成 芯片 上 加 上 时 钟 电 路 和 一 个 征 控 制 器 ,就 可 以 构成 一 个 超 宽带 通信 设备 。 

2) 传输 速率 高 

为 了 确保 提供 高 质量 的 多 媒体 业务 的 无 线 网 络 , 其 信息 传输 速率 不 能 低 于 50M bps。 
在 民用 产品 中 ,一般 要 求 UWB 信号 的 传输 范围 在 十 米 以 内 ,再 根据 经 过 修改 的 信道 容量 公 
式 ,其 传输 速率 可 达 500M bps, 是 实现 无 线 个 域 网 的 一 种 理想 调制 技术 。UWB 以 非常 宽 
的 频率 来 换取 高 速 的 数据 传输 ,并 且 不 单独 占用 现在 的 频率 资源 ,而 是 共享 其 他 无 线 技术 使 
用 的 频带 。 

3) 空间 容量 大 

UWB 无 线 通 信 技 术 的 单位 区 域内 通信 容量 可 以 超过 每 平方 米 1000kbps, 而 IEEE 
802. 11b 仅 为 每 平方 米 1kbps, 蓝 牙 技 术 为 每 平方 米 30kbps,IEEE 802. 11a 也 只 有 每 平方 
米 83kbps。 由 此 可 见 , 目 前 常用 的 无 线 技术 标准 的 空间 容量 都 远 低 于 UWB 技术 。 随 着 技 
术 的 不 断 完善 ,UWB 系统 的 通信 速率 、 传 输 距 离 及 空间 容量 还 将 不 断 提高 。 

4) 低 功 耗 

UWB 使 用 简单 的 传输 方式 发 出 的 是 瞬间 尖 波 形 电 波 , 即 所 谓 的 脉冲 电波 , 它 直接 发 送 
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0 或 1 脉冲 信号 出 去 ,脉冲 持续 时 间 很 短 , 仅 为 0.2 一 1.5 纳 秒 ,由 于 只 在 需要 时 发 送 脉 冲 电 
波 , 因 此 UWB 系 统 的 功 耗 很 低 , 仅 为 1 一 4mW, 民 用 的 UWB 设备 功率 一 般 是 传统 移动 电 
话 或 者 无 线 局 域 网 所 需 功率 的 十 分 之 一 到 一 百 分 之 一 左右 ,大 大 延长 了 电源 的 供电 时 间 。 
UWB 设备 在 电池 寿命 和 电池 辐射 上 相对 于 传统 无 线 设备 有 着 很 大 的 优越 性 。 


2. 超 宽带 面临 的 信息 安全 威胁 


由 于 超 宽带 网 络 的 独特 特征 ,使 得 网 络 非常 脆弱 ,很 容易 受到 各 种 安全 威胁 和 攻击 。 而 
传统 加 密 和 安全 认证 机 制 等 安全 技术 ,虽然 能 够 在 一 定 程度 上 避免 UWB 网 络 中 的 入 侵 , 但 
是 面临 的 信息 安全 形势 仍然 严峻 。 超 宽带 面临 的 信息 安全 威胁 如 下 : 

1) 拒绝 服务 攻击 

拒绝 服务 攻击 是 使 结 点 无 法 对 其 他 合法 结 点 提供 所 需 正 常服 务 的 攻击 。 在 无 线 通信 
中 ,攻击 者 的 攻击 目标 可 以 是 任意 的 移动 接点 ,并 且 攻 击 可 以 来 自 各 个 方向 ,拒绝 服务 攻击 
可 以 发 生 在 UWB 网 络 中 的 各 个 层 。 在 物理 层 和 媒体 接 入 层 , 攻 击 者 通过 无 线 干扰 来 拥塞 
通信 信道 ; 在 网 络 层 ,攻击 者 可 以 破坏 路 由 信息 ,使 得 网 络 无 法 互联 ; 在 更 高 层 ,攻击 者 可 
以 攻击 各 种 高 层 服务 。 拒 绝 服 务 攻击 的 后 果 取 决 于 UWB 网 络 的 应 用 环境 ,在 UWB 网 络 
中 ,使 中 心 资源 溢出 的 拒绝 服务 攻击 威胁 甚 少 ,UWB 网 络 各 个 结 点 相互 依赖 的 特点 ,使 分 
布 式 的 拒绝 服务 攻击 威胁 更 为 严重 。 如 果 攻 击 者 有 足够 的 计算 能 力 和 运行 带宽 , 较 小 的 
UWB 网 络 可 能 非常 容易 阻塞 ,甚至 崩溃 。 在 UWB 网 络 中 ,剥夺 睡眠 攻击 是 一 种 特殊 的 拒 
绝 服务 攻击 ,攻击 者 不 停 地 通过 合法 方式 与 结 点 交互 ,其 目的 就 是 消耗 结 点 的 有 限 的 电池 能 
量 , 使 结 点 无 法 正常 工作 。 

2) 密 钥 泄 露 

在 传统 公 钥 密 码 体 制 中 ,用 户 采 用 加 密 、 数 字 签 名 等 技术 来 实现 信息 的 机 密 性 和 完整 性 
等 安全 服务 。 但 这 需要 一 个 信任 的 认证 中 心 ,而 UWB 网 络 不 允许 存在 单一 的 认证 中 心 , 否 
则 单一 的 认证 中 心 崩溃 将 造成 整个 网 络 无 法 获得 认证 ,而 且 被 攻破 的 认证 中 心 的 私 钥 可 能 
会 泄露 给 攻击 者 ,使 得 整个 网 络 完全 失去 安全 性 。 

3) 假冒 攻击 

假冒 攻击 在 超 宽带 网 络 的 各 个 层次 都 可 以 进行 。 它 可 以 威胁 到 UWB 网 络 结构 的 所 有 
层 。 如 果 没 有 适当 的 身份 认证 ,恶意 结 点 就 可 以 伪装 成 其 他 信任 的 结 点 ,从 而 破坏 整个 网 络 
的 正常 运行 。 例 如 ,Sybil 攻击 就 是 这 样 一 种 攻击 。 如 果 没 有 适当 用 户 验证 的 支持 ,在 网 络 
层 ,泄密 结 点 就 可 以 冒充 其 他 被 信任 结 点 攻击 网 络 而 不 会 暴露 。 例 如 ,加 入 网 络 或 者 发 送 虚 
假 的 路 由 信息 ; 在 网 络 管理 范围 内 ,攻击 者 可 以 作为 超级 用 户 获得 对 配置 系统 的 访问 ; 在 
服务 层 ,一 个 恶意 用 户 甚至 不 需要 适当 的 证 书 就 可 以 拥有 经 过 授权 的 公 钥 。 成 功 的 假冒 攻 
击 所 造成 的 结果 非常 严重 。 一 个 恶意 用 户 可 以 假冒 任何 一 个 友好 结 点 ,向 其 他 结 点 发 布 虚 
假 的 命令 和 状态 信息 ,并 对 其 他 结 点 或 服务 造成 永久 性 的 毁坏 。 同 时 UWB 网 络 的 这 些 安 
全 缺陷 也 导致 在 传统 网 络 中 能 够 较 好 工作 的 安全 机 制 , 如 加 密 和 认证 机 制 、 防 火 墙 以 及 网 络 
安全 方案 ,不 能 够 有 效 地 适用 于 UWB 网 络 。 

4) 路 由 攻击 

路 由 攻击 包括 内 部 攻击 和 外 部 攻击 。 内 部 攻击 源 于 网 络 内 部 ,这 种 攻击 对 路 由 信息 将 
造成 很 大 的 威胁 。 外 部 攻击 中 除了 常规 的 路 由 表 溢 出 攻击 等 外 部 攻击 以 外 ,还 包括 隧道 攻 
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击 、 睡 眠 剥夺 攻击 和 结 点 自私 性 攻击 等 针对 移动 自 组 网 的 独特 攻击 。 
3. 超 宽带 技术 的 安全 规范 


与 传统 的 有 线 网 络 相 比 ,无 线 网 络 的 安全 问题 往往 是 出 乎 预料 的 ,由 于 分 布 式 无 线 网 络 
各 种 各 样 的 应 用 ,使 其 安全 问题 更 加 复杂 。 

1) 安全 性 要 求 

针对 超 宽 带 网 络 应 用 过 程 中 容易 发 生 的 信息 安全 问题 ,国际 标准 化 组 织 接受 了 由 
WiMedia 联盟 提出 的 《高 速率 超 宽带 通信 的 物理 层 和 媒体 接 入 控制 标准 》, 即 ECMA-368 
(ISO/VIEC26907) , 它 规范 了 相应 的 安全 性 要 求 。 

(1) 安全 级 别 。 

ECMA-368(ISO/TEC26907) 标 准 定义 了 两 种 安全 级 别 : 无 完全 和 强 安全 保护 。 安 全 保 
护 包括 数据 加 密 、 消 息 认 证 和 重播 攻击 防护 ; 安全 帧 提供 对 数据 帧 .选择 帧 和 控制 帧 的 
保护 。 

(2) 安全 模式 。 

安全 模式 指 一 个 设备 是 否 被 允许 建立 与 其 他 设备 进行 数据 通信 的 安全 关系 。ECMA- 
368(ISO/IEC26907) 标 准 定义 了 三 种 安全 模式 ,用 于 控制 设备 间 的 通信 。 两 台 设 备 通 过 四 
次 握手 协议 来 建立 安全 关系 。 一 旦 两 台 设备 建立 了 安全 关系 ,它们 将 使 用 安全 帧 来 作为 数 
据 帧 ,如 果 接 收 方 需要 接受 安全 帧 ,而 发 送 方 无 安全 帧 ,那么 接收 方 将 丢弃 该 帧 。 

安全 模式 0 定义 了 数据 传输 时 使 用 无 安全 帧 的 通信 方式 ,并 且 与 其 他 设备 建立 无 安全 
关系 的 通信 方式 。 在 该 模式 下 ,如 果 接 收 到 安全 帧 ,MAC 层 将 直接 丢弃 该 帧 。 

安全 模式 1 定义 了 数据 传输 时 与 安全 模式 0 下 的 设备 进行 数据 通信 ,或 者 未 建立 安全 
关系 的 处 于 安全 模式 1 下 的 设备 进行 数据 通信 ,或 者 在 特定 帧 的 控制 下 与 处 于 安全 模式 1 
下 建立 安全 关系 的 设备 进行 通信 ; 否则 将 丢弃 数据 帧 。 

安全 模式 2 的 安全 级 别 比较 高 , 它 不 与 其 他 安全 模式 的 设备 进行 通信 ,而 是 通过 四 次 握 
手 协议 建立 安全 关系 。 

(3) 握手 协议 。 

四 次 握手 协议 使 得 两 台 具 有 共享 主 密 钥 的 设备 进行 相互 认证 ,同时 产生 PTK (Pairwise 
Transient Key) 来 加 密 特定 的 帧 。 

(4) 密 钥 传 输 。 

在 成 功 地 四 次 握手 并 建立 安全 关系 后 ,两 台 设 备 开 始 分 发 各 自 的 GTK (Group 
Transient Key)。GTK 用 于 组 播 通信 时 对 传输 数据 的 加 密 。 每 个 GTK 的 分 发 是 通过 四 次 
握手 中 产生 的 PTK 进行 加 密 后 再 进行 传送 的 。 

2) 信息 接收 与 验证 

在 信息 接收 过 程 中 ,接收 帧 时 ,MAC 子 层 的 信息 处 理 流程 如 图 5-14 所 示 。 

帧 重 发 机 制 保护 接收 方 有 效 地 接收 FCS 和 MIC 安全 帧 ,其 信息 接收 流程 为 : 从 接收 帧 
中 提取 出 SFN ,将 其 与 此 帧 所 用 的 临时 密 钥 的 重 发 计数 器 的 值 作 比较 。 如 果 前 者 小 于 或 等 
于 后 者 ,接收 方 的 MAC 了 于 层 丢弃 此 帧 ; 否则 ,接收 方 将 接收 到 的 SFN 赋 给 相应 的 重 发 计数 
器 。 不 过 ,使 用 此 SFN 更 新 重 发 计数 器 前 ,接收 方 应 确保 此 帧 已 通过 FCS 验证 、 重 发 预防 
和 MIC 确认。 
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验证 FCS 失败 
成 功 
一 2 
1 成 功 有 
签证 TKID 
Ty 
验证 MIC 失败 | 一 一 -| 天 
1 成 功 
检查 帧 重 改 类 网 
1 成 功 更 新 重 发 计数 器 
i 已 接收 
1 
解密 由 


图 5-14 MAC 子 层 信息 处 理 流程 


3) MAC 层 的 信息 安全 传输 机 制 

在 超 宽带 系统 中 ,MAC 层 的 信息 安全 传输 功能 主要 包括 以 下 几 个 方面 : 

(1) 通过 物理 层 ,在 一 个 无 线 频道 上 与 对 等 设备 进行 通信 。 

(2) 采用 基于 动态 配置 的 分 布 式 信道 访问 方式 。 

(3) 基于 竞争 的 信道 访问 方式 。 

(4) 采用 同步 的 方式 进行 协调 应 用 。 

(5) 提供 在 设备 移动 和 干扰 环境 下 的 有 效 解决 方案 。 

(6) 以 调度 帧 传送 和 接收 的 方式 来 控制 设备 功 耗 。 

(7) 提供 安全 的 数据 认证 和 加 密 方式 。 

(8) 提供 设备 间距 离 计算 方案 。 

超 宽 带 的 MAC 层 是 一 种 完全 分 布 式 的 结构 ,没有 一 台 设 备 处 于 中 心 控制 的 角色 。 所 
有 设备 都 具有 上 述 8 种 功能 ,并 且 根 据 应 用 的 不 同 可 以 选择 性 的 使 用 这 8 种 功能 。 在 分 布 
式 环境 中 ,设备 间 通 过 信 标 帧 的 交换 来 识别 。 设 备 的 发 现 、 网 络 结构 的 动态 重组 和 设备 移动 
性 的 支持 ,都 是 通过 进行 周期 性 的 信 标 传输 来 实现 的 。 


4. 超 宽带 拒绝 服务 攻击 防御 策略 


以 往 , 拒 绝 服务 攻击 主要 是 针对 计算 机 网 络 系统 的 。 随 着 通信 技术 的 发 展 ,目前 拒绝 服 
务 攻击 已 经 有 针对 所 有 通信 系统 的 发 展 趋势 。 由 于 超 宽 带 是 一 种 开放 的 分 布 式 网 络 , 没 有 
中 央 控 制 。 因 此 ,基于 UWB 的 物 联网 在 运营 过 程 中 受到 拒绝 服务 攻击 的 可 能 性 就 大 大 提 
高 了 。 

1) 超 宽带 拒绝 服务 攻击 的 工作 原理 

超 宽带 拒绝 服务 攻击 的 工作 原理 如 图 5-15 所 示 。 

拒绝 服务 是 指 网 络 信息 系统 由 于 某 种 原因 遭 到 不 同 程度 的 破坏 ,使 得 系统 资源 的 可 用 
性 降低 甚至 不 可 用 ,从 而 导致 不 能 为 授权 用 户 提供 正常 的 服务 。 拒 绝 服务 通常 是 由 配置 错 


探测 扫描 大 量 的 主机 
以 寻找 可 入 侵 的 主机 


入 侵 有 安全 漏洞 的 主机 
获取 系统 控制 权 


在 每 台 入 侵 主机 中 安装 攻击 程序 
(客户 进程 或 守护 进程 ) 


| 利用 入 侵 主 机 继续 进行 扫描 或 攻击 


图 5-15 UWB 拒绝 服务 攻击 流程 


误 、 软 件 弱 点 ,资源 毁坏 ,资源 耗 尽 和 资源 过 载 等 因素 引起 的 。 其 工作 原理 是 利用 工具 软件 ， 
集中 在 某 一 时 间 段 内 向 目标 机 发 送 大 量 的 垃圾 信息 ,或 者 是 发 送 超过 目标 机 接收 能 力 的 信 
息 ,使 得 对 方 出 现 网 络 堵塞 或 负载 过 重 等 状况 ,造成 目标 系统 拒绝 服务 。 在 实际 网 络 中 ,由 
于 网 络 规模 和 速度 的 限制 ,攻击 者 往往 难以 在 短 时 间 内 发 送 过 多 的 请 求 , 因 此 通常 都 采用 分 
布 式 拒绝 服务 攻击 的 方式 。 在 这 种 攻击 中 ,为 了 提高 攻击 的 成 功率 ,攻击 者 需要 控制 大 量 的 
被 人 侵 主机 。 因 此 攻击 者 一 般 会 采用 一 些 远程 控制 软件 ,以便 在 自己 的 客户 端 操纵 整个 攻 
击 过 程 。 

值得 注意 的 是 ,在 利用 入 侵 主 机 继续 进行 扫描 和 攻击 的 过 程 中 ,采用 分 布 式 拒绝 服务 的 
客户 端 通常 采用 IP 欺骗 技术 ,以 逃避 追查 。 

2) 超 宽带 网 络 中 拒绝 服务 攻击 的 类 型 

在 超 宽带 网 络 中 ,拒绝 服务 攻击 主要 有 两 种 类 型 : MAC 层 攻 击 和 网 络 层 攻击 。 

在 MAC 层 实 施 的 拒绝 服务 攻击 主要 有 两 种 方法 : 一 种 方法 是 拥塞 UWB 网 络 中 的 目 
标 结 点 设备 使 用 的 无 线 信道 ,使 得 UWB 网 络 中 的 目标 结 点 设备 不 可 用 ; 另 一 种 方法 是 将 
UWB 网 络 中 的 目标 结 点 设备 作为 网 桥 , 让 其 不 停 地 中 继 转发 无 效 的 数据 帧 ,以 耗 尽 UWB 
网 络 中 的 目标 结 点 设备 的 可 用 资源 。 

在 网 络 层 实施 的 攻击 也 称 为 UWB 路 由 攻击 ,其 主要 攻击 方法 有 以 下 四 种 : 

(1) UWB 网 络 的 多 个 结 点 通过 与 UWB 网 络 中 的 被 攻击 目标 结 点 设备 ,建立 大 量 的 无 
效 的 TCP 连接 来 消耗 目标 结 点 设备 的 TCP 资源 ,使 得 正常 的 连接 不 能 进入 ,从 而 降低 甚至 
耗 尽 系统 的 资源 。 

(2) UWB 网 络 的 多 个 结 点 同时 向 UWB 网 络 中 的 目标 结 点 设备 发 送 大 量 伪造 的 路 由 
更 新 数据 包 , 使 得 目标 结 点 设备 忙于 频繁 的 无 效 路 由 更 新 ,以 此 降低 系统 的 性 能 。 

(3) 通过 IP 地 址 欺骗 技术 ,攻击 结 点 通过 向 路 由 器 的 广播 地 址 发 送 虚假 信息 ,使 得 路 
由 器 所 在 网 络 上 的 每 台 设 备 向 UWB 网 络 中 的 目标 结 点 设备 回复 该 信息 ,从 而 降低 系统 的 
性 能 。 

(4) 修改 IP 数据 包头 部 的 TTL 域 ,使 得 数据 包 无 法 到 达 UWB 网 络 中 的 目标 结 点 
设备 。 

3) 超 宽带 网 络 中 拒绝 服务 攻击 的 防御 措施 

针对 UWB 网 络 中 基于 数据 报 文 的 拒绝 服务 攻击 ,可 以 采用 路 由 路 径 删除 措施 来 防止 
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UWB 洪 泛 拒绝 服务 攻击 。 

当 攻 击 者 发 动 基于 数据 报 文 的 UWB 洪 泛 攻击 行为 时 ,发 送 大 量 攻击 数据 报 文 至 所 有 
UWB 网 络 中 的 结 点 。 作 为 邻居 结 点 和 沿途 结 点 是 难以 判别 攻击 行为 的 ,因为 结 点 无 法 判 
断 数 据 报 文 的 用 途 。 但 作为 数据 报 文 的 目标 结 点 ,就 比较 容易 判定 了 。 当 目标 结 点 发 现 收 
到 的 报 文 都 是 无 用 的 时 候 , 它 就 可 以 认定 源 结 点 为 攻击 者 。 目 标 结 点 可 以 通过 路 径 删 除 的 
方法 来 阻止 基于 数据 报 文 的 UWB 洪 泛 攻击 行为 。 

具体 的 实施 步骤 是 : 当 网 络 中 的 目标 结 点 发 现 源 结 点 是 攻击 者 时 ,由 目标 结 点 生成 一 
个 路 由 请 求 报 文 (RRER) ,该 报 文 标明 目标 结 点 不 可 达 , 目 标 结 点 将 这 个 RRER 报 文 发 送 给 
攻击 者 。 当 RRER 报 文 到 达 攻 击 者 时 , 它 就 会 认为 这 条 路 由 已 经 中 断 , 从 而 将 这 条 路 由 从 
本 结 点 的 路 由 表 中 删除 ,这样 它 就 无 法 继续 发 送 攻击 报 文 了 。 假 如 它 还 要 发 送 报 文 ,就 必须 
重新 建立 路 由 。 这 时 ,目标 结 点 已 经 判定 该 结 点 为 攻击 者 ,对 它 发 送 的 RREQ 报 文 不 回答 
RREP ,这样 就 无 法 重新 建立 路 由 。 通 过 这 种 方式 ,只 要 被 攻击 过 的 结 点 都 会 拒绝 攻击 者 建 
立 路 由 。 如 果 攻 击 者 不 断 发 动 基 于 数据 报 文 的 UWB 拒绝 服务 攻击 ,拒绝 与 其 建立 路 由 的 
结 点 就 会 越 来 越 多 ,最 后 所 有 结 点 都 会 拒绝 与 其 建立 路 由 ,攻击 者 就 会 被 孤立 于 UWB 网 络 
之 外 ,从 而 阻止 了 基于 数据 报 文 的 UWB 拒绝 服务 攻击 。 

随 着 物 联 网 应 用 领域 的 不 断 发 展 , 对 于 物 联 网 末端 感知 信息 的 需求 会 不 断 增加 ,在 物 联 
网 末端 的 信息 感知 网 络 中 应 用 超 宽带 技术 具有 越 来 越 重 要 的 意义 。 目 前 对 于 超 宽带 应 用 过 
程 中 的 信息 安全 机 制 虽然 有 一 定 的 研究 ,但 是 仍然 处 于 初级 阶段 ,还 需要 针对 物 联网 的 运营 
环境 和 面临 的 新 型 信息 安全 威胁 进行 更 为 深入 的 研究 ,以 满足 物 联网 产业 日 新 月 异 的 发 展 


63 移动 通信 系统 安全 


5.3.1 移动 通信 系统 概述 
到 目前 为 止 , 移 动 通信 系统 的 发 展 已 经 经 历 了 四 个 时 代 , 如 图 5-16 所 示 。 


时 代 标准 技术 短信 语音 数据 | 数据 传输 
1G AMPS, TACS 模拟 不 支持 电路 无 
GSM.CDMA 村 
2G GE 电路 9.6~384k 
WCDMA.CDMA2000 a ih 下 行 

3 TD-SCDMA,HSPA 数字 这 电路 分 组 | ,om 

i 下 行 峰值 
3.9G LTE,WiMAX 分 组 100M 


5-16 ”移动 通信 系统 的 发 展 时 代 


1. 第 一 代 移 动 通信 系统 
第 一 代 移 动 通信 系统 简称 为 1G, 主 要 采用 蜂窝 组 网 和 频 分 多 址 (FDMA) 技 术 。 由 于 受 
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到 传输 带宽 的 限制 ,不 能 进行 移动 通信 的 长 途 漫游 ,只 能 是 一 种 区 域 性 的 移动 通信 系统 。 第 
一 代 移 动 通信 有 多 种 制式 ,我 国 主 要 采用 的 是 TACS。 第 一 代 移 动 通信 有 很 多 不 足 之 处 ,如 
容量 有 限 、 制 式 太 多 、 互 不 兼容 ,保密 性 差 、 通 话 质 量 不 高 ,不 能 提供 数据 业务 和 不 能 提供 自 
动漫 游 等 。 

回顾 第 一 代 移 动 通信 系统 ,就 不 能 不 提起 大 名 鼎鼎 的 美国 贝尔 实验 室 。1978 年 底 , 贝 
尔 实验 室 研 制 成 功 了 全 球 第 一 个 移动 蜂窝 电话 系统 一 一 先进 移动 电话 系统 (Advanced 
Mobile Phone System,AMPS)。5 年 后 ,这 套 系统 在 芝加哥 正式 投入 商用 并 迅速 在 全 美国 
推广 ,获得 了 巨大 成 功 。 

同一 时 期 ,欧洲 各 国 也 不 甘 示 弱 , 先 后 建立 起 自己 的 第 一 代 移动 通信 系统 。 瑞 典 等 北欧 
4 国 合作 ,在 1980 年 研制 成 功 了 NMT-450 移动 通信 和 网 并 投入 使 用 ; 联邦 德国 在 1984 年 完 
成 了 C 网 络 (C-Netz); 英国 则 于 1985 年 开发 出 频段 在 900MHz 的 全 接 入 通信 系统 (Total 
Access Communications System,TACS) 。 

在 各 种 1G 系统 中 ,美国 AMPS 制式 的 移动 通信 系统 在 全 球 的 应 用 最 为 广泛 , 它 曾 经 在 
超过 72 个 国家 和 地 区 运营 ,直到 1997 年 还 在 一 些 地 方 使 用 。 同 时 ,也 有 近 30 个 国家 和 地 
区 采用 英国 TACS 制式 的 1G 系统 。 这 两 种 移动 通信 系统 是 世界 上 最 具 影 响 力 的 1G 系统 。 

中 国 的 第 一 代 模 拟 移动 通信 系统 ,于 1987 年 11 月 18 日 在 广东 第 六 届 全 运 会 上 开通 ， 
并 正式 开始 投入 商用 ,采用 的 是 英国 TACS 制式 。 从 中 国电 信 1987 年 11 月 开始 运营 模拟 
移动 电话 业务 到 2001 年 12 月 底 中 国 移动 关闭 模拟 移动 通信 网 ,1G 系统 在 中 国 的 应 用 长 达 
14 年 ,用 户 数 最 高 曾 达到 了 660 万 。 如 今 ,1G 时 代 那 像 砖 头 一 样 的 手持 终端 一 一 大 哥 大 ， 
已 经 成 为 了 很 多 人 的 美好 回忆 。 

第 一 代 移 动 通信 系统 的 主要 特点 是 采用 频 分 复 用 技术 ,语音 信号 为 模拟 调制 ,每 隔 
30kHz/25kHz 一 个 模拟 用 户 信道 。 第 一 代 移 动 通信 系统 在 商业 上 取得 了 巨大 的 成 功 ,但 是 
其 缺点 也 日 渐 显 露出 来 。 

(1) 频谱 利用 率 低 。 

(2) 业务 种 类 有 限 。 

(3) 无 高 速 数 据 业 务 。 

(4) 保密 性 差 , 易 被 窃听 和 盗号 。 

(5) 设备 成 本 高 。 

(6) 体积 大 ,重量 大 。 


2. 第 二 代 移 动 通信 系统 


为 了 解决 模拟 系统 中 存在 的 这 些 根本 性 技术 缺陷 ,数字 移动 通信 技术 应 运 而 生 ,并 且 逐 
渐 发 展 起 来 ,这 就 是 第 二 代 移动 通信 系统 (简称 2G) ,时 间 是 从 20 世纪 80 年 代 中 期 开始 的 。 
第 二 代 移 动 通信 系统 以 传输 话音 和 低速 数据 业务 为 目的 ,因此 又 称 为 窄带 数字 通信 系统 。 
第 二 代数 字 蜂 窝 移 动 通信 系统 的 典型 代表 是 美国 的 DAMPS 系统 、IS-95 系统 和 欧洲 的 
GSM 系统 。 

(1) 先进 的 数字 移动 电话 系统 (DAMPS) 也 称 IS-54( 北 美 数字 蜂窝 ) ,使 用 800MHz 频 
带 , 是 两 种 北美 数字 蜂窝 标准 中 推出 较 早 的 一 种 ,指定 使 用 TDMA 多 址 方式 。 

(2) IS-95 是 北美 的 另 一 种 数字 蜂窝 标准 ,使 用 800MHz 或 1900MHz 频带 ,使 用 
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CDMA 多 址 方式 ,已 成 为 美国 个 人 通信 系统 (PCS) 网 的 首选 技术 。 

(3) 全 球 移动 通信 系统 (GSM) 发 源 于 欧洲 , 它 是 作为 全 球 数字 蜂窝 通信 的 DMA 标准 
而 设计 的 ,支持 64kbps 的 数据 速率 ,可 与 ISDN 互 连 。GSM 使 用 900MHz 频带 ,使 用 
1800MHz 频带 的 称 为 DCS1800。GSM 采用 FDD 双 工 方式 和 TDMA 多 址 方式 ,每 载 频 支 
持 8 个 信道 ,信号 带宽 200kHz。GSM 标准 体制 较为 完善 ,技术 相对 成 熟 ,不 足 之 处 是 相对 
于 模拟 系统 容量 增加 不 多 ,仅仅 为 模拟 系统 的 两 倍 左右 , 且 无 法 和 模拟 系统 兼容 。 

由 于 第 二 代 移 动 通信 以 传输 话音 和 低速 数据 业务 为 目的 ,从 1996 年 开始 ,为 了 解决 中 
速 数 据 传 输 问题 ,又 出 现 了 2. 5 代 的 移动 通信 系统 ,如 GPRS 和 IS-95B。 


3. 第 三 代 移动 通信 系统 


3G 即 第 三 代 移 动 通信 技术 ,是 指 支持 高 速 数据 传输 的 蜂窝 移动 通信 技术 。3G 服务 能 
够 同时 传送 声音 及 数据 信息 ,速率 一 般 在 几 百 “kbps” 以 上 。3G 是 指 将 无 线 通 信和 与 国际 互 
联网 等 多 媒体 通信 结合 的 新 一 代 移 动 通信 系统 ,目前 3G 存在 3 种 标准 : CDMA2000、 
WCDMA TD-SCDMA。 

3G 下 行 速度 峰值 理论 可 达 3. 6Mbit/s, 上 行 速度 峰值 也 可 达 384kbit/s。 

中 国 大 陆 支 持 国际 电 联 确定 的 三 个 无 线 接口 标准 ,分 别 是 中 国电 信 的 CDMA2000, 中 
国联 通 的 WCDMA, 中 国 移动 的 TD-SCDMA,GSM 设备 采用 的 是 时 分 多 址 ,而 CDMA 使 
用 码 分 扩 频 技术 ,先进 功率 和 话音 激活 至 少 可 提供 大 于 3 倍 GSM 网 络 容量 ,业界 将 CDMA 
技术 作为 3G 的 主流 技术 ,国际 电 联 确定 三 个 无 线 接口 标准 ,分 别 是 美国 CDMA2000, 欧 洲 
WCDMA, 中 国 TD-SCDMA。 原 中 国联 通 的 CDMA 卖 给 中 国电 信 , 中 国电 信和 已 经 将 
CDMA 升级 到 3G 网 络 ,3G 主要 特征 是 可 提供 移动 宽带 多 媒体 业务 。 

已 有 538 个 WCDMA 运营 商 在 246 个 国家 和 地 区 开通 了 WCDMA 网 络 ,3G 商用 市 场 
份额 超过 80% ,而 WCDMA 向 下 兼容 的 GSM 网 络 已 覆盖 184 个 国家 ,遍布 全 球 , WCDMA 
用 户 数 已 超过 6 亿 。 

1) WCDMA 

WCDMA ,全 称 为 Wideband CDMA ,也 称 为 CDMA Direct Spread , 意 为 宽频 分 码 多 重 
存 取 ,这 是 基于 GSM 网 发 展 出 来 的 3G 技术 规范 ,是 欧洲 提出 的 宽带 CDMA 技术 , 它 与 日 
本 提出 的 宽带 CDMA 技术 基本 相同 ,目前 正在 进一步 融合 。WCDMA 的 支持 者 主要 是 以 
GSM 系统 为 主 的 欧洲 厂商 ,日 本 公司 也 或 多 或 少 参与 其 中 ,包括 欧美 的 爱立信 、 阿 尔 卡 特 、 
诺基亚 、 朗 讯 、 北 电 , 以 及 日 本 的 NTT、 富 士 通 ,夏普 等 厂商 。 该 标准 提出 了 GSM(2G)- 
GPRS-EDGE-WCDMA(3G) 的 演进 策略 。 这 套 系统 能 够 架设 在 现 有 的 GSM 网 络 上 ,对 于 
系统 提供 商 而 言 可 以 较 轻易 地 过 渡 。 预 计 在 GSM 系统 相当 普及 的 亚洲 ,对 这 套 新 技术 的 
接受 度 会 相当 高 。 因 此 WCDMA 具有 先天 的 市 场 优势 。WCDMA 已 是 当前 世界 上 采用 的 
国家 及 地 区 最 广泛 的 ,终端 种 类 最 丰富 的 一 种 3G 标准 ,占据 全 球 80% 以 上 的 市 场 份额 。 

2) CDMA2000 

CDMA2000 是 由 窄带 CDMA(CDMA IS95) 技 术 发 展 而 来 的 宽带 CDMA 技术 ,也 称 为 
CDMA Moulti-Carrier, 它 最 先 由 美国 高 通 北 美 公司 提出 ,摩托 罗拉 、Lucent 和 后 来 加 入 的 韩 
国 三 星 都 有 参与 ,后 来 韩国 三 星 成 为 该 标准 的 主导 者 。 这 套 系统 是 从 窄 频 CDMAOne 数字 
标准 衍生 出 来 的 ,可 以 从 原 有 的 CDMAOne 结构 直接 升级 到 3G, 建 设 成 本 低廉 。 但 使 用 
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CDMA 的 地 区 只 有 日 . 韩 和 北美 .所 以 CDMA2000 的 支持 者 不 如 WCDMA 多 。 不 过 
CDMA2000 的 研发 技术 却 是 目前 各 标准 中 进展 最 快 的 。 该 标准 提出 了 从 CDMAIS95(2G)- 
CDMA20001x-CDMA20003x(3G) 的 演进 策略 。CDMA20001x 被 称 为 2. 5 代 移 动 通信 技 
术 。CDMA20003x 与 CDMA20001x 的 主要 区 别 在 于 应 用 了 多 路 载波 技术 ,通过 采用 三 载 
波 使 带宽 提高 。 中 国电 信 正 在 采用 这 一 方案 向 3G 过 渡 ,并 已 建成 了 CDMAIS95 网 络 。 

3) TD-SCDMA 

TD-SCDMA 全 称 为 Time Division-Synchronous CDMA( 时 分 同步 CDMA) ,该 标准 是 
由 中 国 独 自制 定 的 3G 标准 。1999 年 6 月 29 日 ,中 国 原 邮电 部 电信 科学 技术 研究 院 ( 大 唐 
电信 ) 向 ITU 提出 该 项 技术 ,但 技术 发 明 始 于 西门 子 公 司 。TD-SCDMA 具有 辐射 低 的 特 
点 ,被 誉 为 绿色 3G。 该 标准 将 智能 无 线 、 同 步 CDMA 和 软件 无 线 电 等 当今 国际 领先 技术 融 
于 其 中 ,在 频谱 利用 率 、 对 业务 支持 具有 灵活 性 、 频 率 灵 活性 及 成 本 等 方面 的 独特 优势 。 另 
外 ,由 于 中 国内 地 庞大 的 市 场 , 该 标准 受到 各 大 主要 电信 设备 厂商 的 重视 ,全 球 一 半 以 上 的 
设备 厂商 都 宣布 可 以 支持 TD-SCDMA 标准 。 该 标准 提出 不 经 过 2. 5 代 的 中 间 环 节 , 直接 
向 3G 过 渡 , 非 常 适用 于 GSM 系统 向 3G 升级 。 军 用 通信 和 网 也 是 TD-SCDMA 的 核心 任务 。 
相对 于 另外 两 个 3G 标准 CDMA2000 和 WCDMA , 它 的 起 步 较 晚 ,技术 不 够 成 熟 。 


4. 第 四 代 移动 通信 系统 


第 四 代 移 动 通信 系统 ,英文 缩写 为 4G。 该 技术 包括 TD-LTE 和 FDD-LTE 两 种 制式 。 
严格 意义 上 来 讲 ,LTE 只 是 3.9G, 尽 管 被 宣传 为 4G 无 线 标准 ,但 它 其 实 并 未 被 3GPP 认可 
为 国际 电信 联盟 所 描述 的 下 一 代 无 线 通信 标准 IMT-Advanced, 因 此 在 严格 意义 上 其 还 未 
达到 4G 的 标准 。 只 有 升级 版 的 LTE Advanced 才 满 足 国 际 电信 联盟 对 4G 的 要 求 。 

4G 技术 集 LTE 技术 与 WiMAX 技术 于 一 体 , 并 能 够 快速 传输 数据 ,高 质量 .音频 、 视 
频 和 图 像 等 。4G 能 够 以 100Mbps 的 峰值 速率 下 载 , 比 目 前 的 家 用 宽带 ADSL(4 兆 ) 快 25 
倍 , 并 能 够 满足 几乎 所 有 用 户 对 于 无 线 服 务 的 要 求 。 此 外 ,4G 可 以 在 DSL 和 有 线 电视 调制 
解 调 器 没有 覆盖 的 地 方 部 署 ,然后 再 扩展 到 整个 地 区 。 很 明显 ,4G 有 着 不 可 比拟 的 优越 性 。 

长 期 演进 (Long Term Evolution,LTE) 项 目 是 3G 的 演进 , 它 改进 并 增强 了 3G 的 空中 
接 人 技术 ,采用 OFDM 和 MIMO 作为 其 无 线 网 络 演进 的 唯一 标准 。 根 据 4G 牌照 发 布 的 规 
定 , 国 内 三 家 运营 商 中 国 移动 .中 国电 信和 中 国联 通 ,都 拿 到 了 TD-LTE 制式 的 4G 牌照 。 

LTE 主要 特点 是 在 20MHz 频谱 带宽 下 能 够 提供 下 行 100Mbit/s 与 上 行 50Mbit/s 的 
峰值 速率 ,相对 于 3G 网 络 大 大 地 提高 了 小 区 的 容量 .同时 将 网 络 延 迟 大 大 降低 。 内 部 单 向 
传输 时 延 低 于 5ms, 控 制 平面 从 睡眠 状态 到 激活 状态 迁移 时 间 低 于 50ms, 从 驻 留 状态 到 激 
活 状态 的 迁移 时 间 小 于 100ms。 并 且 这 一 标准 也 是 3GPP 长 期 演进 (LTE) 项 目 , 是 近年 来 
3GPP 启动 的 最 大 的 新 技术 研发 项 目 。 

WiMAX (Worldwide Interoperability for Microwave Access), 即 全 球 微波 互联 接 入 ， 
本 书 的 5. 2. 2 章节 已 经 详细 地 介绍 过 WiMAX, 这 里 不 再 重复 。 


5.3.2 移动 通信 系统 面临 的 安全 威胁 


移动 通信 系统 面临 的 安全 威胁 来 自 网 络 协 议和 系统 的 弱点 。 攻 击 者 可 以 利用 网 络 协议 
和 系统 的 弱点 , 非 授权 访问 敏感 数据 、 非 授权 处 理 敏感 数据 干扰 或 滥用 网 络 服务 ,对 用 户 和 
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按照 攻击 的 物理 位 置 ,对 移动 通信 系统 的 安全 威胁 可 分 为 对 无 线 链 路 的 威胁 、 对 服务 网 
络 的 威胁 和 对 移动 终端 的 威胁 。 主 要 威胁 方式 有 以 下 几 种 : 


1. 窃听 

在 无 线 链 路 或 服务 网 内 窃听 用 户 数据 、 信 令 数据 及 控制 数 。 

2. 伪装 

伪装 成 网 络 单元 截取 用 户 数据 ,信和 令 数据 及 控制 数据 , 伪 终 端 欺骗 网 络 获取 服务 。 
3. 流量 分 析 

主动 或 被 动 进行 流 量 分 析 以 获取 信息 的 时 间 、 速 率 , 长 度 , 来 源 及 目的 地 。 

4. 破坏 数据 的 完整 性 

修改 .插入 、 重 放 、 删 除 用 户 数 据 或 信 令 数据 以 破坏 数据 的 完整 性 。 

5. 拒绝 服务 


在 物理 上 或 协议 上 干扰 用 户 数据 、 信 和 令 数据 及 控制 数据 在 无 线 链 路 上 的 正确 传输 ,实现 
拒绝 服务 攻击 。 


6. 否认 


用 户 否 认 业 务 费 用 、 业 务 数据 来 源 及 发 送 或 接收 到 的 其 他 用 户 的 数据 ,网 络 单元 否认 提 
供 的 网 络 服 务 。 


7. 非 授权 访问 服务 

用 户 滥用 权限 获取 对 非 授权 服务 的 访问 ,服务 网 滥用 权限 获取 对 非 授权 服务 的 访问 。 
8. 资源 耗 尽 

通过 使 网 络 服务 过 载 耗 尽 网 络 资源 ,使 合法 用 户 无 法 访问 。 

5.3.3 移动 通信 系统 的 安全 机 制 


随 着 移动 通信 系统 的 不 断 发 展 ,移动 通信 业务 的 不 断 增 加 ,移动 通信 系统 上 传输 的 数据 
越 来 越 重要 ,移动 通信 系统 对 安全 方面 的 要 求 也 越 来 越 高 。 随 着 移动 通信 系统 的 发 展 ,其 安 
全 机 制 也 越 来 越 强大 ,采用 的 安全 技术 水 平 也 越 来 越 高 。 


1. 第 一 代 移 动 通信 系统 的 安全 机 制 


第 一 代 移动 通信 系统 的 工作 原理 如 图 5-17 所 示 。 
第 一 代 移 动 通信 系统 仅仅 实现 了 一 个 简单 的 模拟 语音 的 传输 ,其 安全 性 能 并 不 高 ,只 是 
一 个 无 机 密 性 的 保护 机 制 。 每 个 手机 都 有 一 个 电子 序号 ESN 和 由 网 络 编码 的 移动 标识 号 
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5-17 第 一 代 移 动 通信 系统 的 工作 原理 图 


MIN。 当 用 户 接 入 的 时 候 , 手 机 只 需要 将 ESN 和 MIN 以 明文 的 方式 发 送 到 网 络 ,如 果 两 者 
匹配 ,就 能 实现 接 入 。 通 过 上 述 的 过 程 ,可 以 看 到 只 要 监听 无 线 电 信号 ,就 能 够 获取 ESN 和 
MIN。 利 用 窃取 的 ESN 和 MIN ,就 可 以 不 花 任 何 费 用 拨打 手机 电话 ,这 就 是 手机 克隆 。 这 
种 属于 欺诈 性 的 接 入 ,给 运营 商 带 来 了 巨大 的 损失 。 频 道 动 持 则 是 另外 一 种 攻击 手段 ,攻击 
者 接管 了 正在 进行 通信 的 语音 和 数据 会 话 。 


2. 第 二 代 移 动 通信 系统 的 安全 机 制 
第 二 代 移 动 通信 系统 以 GSM 系统 为 代表 ,其 网 络 结构 如 图 5-18 所 示 。 


用 户 和 终端 
移动 终端 基站 子 系统 ， 网 络 管理 | 设备 数据 库 
A | | | 
上 1 1 
手 1 1 1 
机 |--F---。， 1 OMC | ! 
DS YY 1 1 
上 
一 ! BTS | | 
人 1 
SAT 
1 1 1 
(了 BTS BSC ! MSC ! HLR AUC 
机 | ca ee 1 1 
1 ! ! 
fh 1 1 EIR 
FN 2 BTS | lL 
| 1 1 
| 
上 1 1 


图 5-18 ”GSM 系统 的 网 络 结构 


GSM 数字 移动 通信 系统 主要 由 移动 交换 系统 、 基 站 子 系统 (BSS)、 操 作 维 护 子 系统 
(OMS) 和 移动 站 (MS) 构 成 。 下 面具 体 描 述 各 部 分 的 功能 。 
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1) 移动 交换 系统 

移动 交换 系统 主要 完成 交换 功能 以 及 用 户 数 据 管理 ,移动 性 管理 \ 安 全 性 管理 所 需 的 数 
据 库 功能 。 

移动 交换 系统 由 移动 交换 中 心 MSC、 归 属 位 置 寄存 器 HLR 拜访 位 置 寄存 器 VLR. 设 
备 识别 寄存 器 EIR、 鉴 权 中 心 AUC 和 短 消息 中 心 SMC 等 功能 实体 构成 。 

(1) MSC(Mobile Service Switching Center) 即 移动 业务 交换 中 ,是 GSM 系统 的 核心 ， 
完成 最 基本 的 交换 功能 , 即 完 成 移动 用 户 和 其 他 网 络 用 户 之 间 的 通信 连接 ; 完成 移动 用 户 
寻 呼 接 入 信道 分 配 、 呼 叫 接 续 , 话 务 量 控 制 . 计 费 、 基 站 管理 等 功能 ; 提供 面向 系统 其 他 功 
能 实体 的 接口 .到 其 他 网 络 的 接口 以 及 与 其 他 MSC 互 连 的 接口 。 

(2) HLR(Home Location Register) 即 归属 位 置 寄存 器 ,是 GSM 系统 的 中 央 数 据 库 ， 
存放 与 用 户 有 关 的 所 有 信息 ,包括 用 户 的 漫游 权限 、 基 本 业务 、 补 充 业务 及 当前 位 置信 息 等 ， 
从 而 为 MSC 提供 建立 呼叫 所 需 的 路 由 信息 。 一 个 HLR 可 以 覆盖 几 个 MSC 服务 区 甚至 整 
个 移动 网 络 。 

(3) VLR(Visitor Location Register) 即 拜访 者 位 置 寄存 器 ,VLR 存储 了 进入 其 覆盖 区 
的 所 有 用 户 的 信息 ,为 已 经 登记 的 移动 用 户 提 供 建立 呼叫 接续 的 条 件 。VLR 是 一 个 动态 数 
据 库 , 需 要 与 有 关 的 归属 位 置 寄存 器 HLR 进行 大 量 的 数据 交换 以 保证 数据 的 有 效 性 。 当 
用 户 离开 该 VLR 的 控制 区 域 , 则 重新 在 另 一 个 VLR 登记 , 原 VLR 将 删除 临时 记录 的 该 移 
动用 户 数 据 。 在 物理 上 ,MSC 和 VLR 通常 合 为 一 体 。 

(4) AUC(AUthentication Center) 即 鉴 权 认证 中 心 ,是 一 个 受到 严格 保护 的 数据 库 , 存 
储 用户 的 鉴 权 信息 和 加 密 参 数 。 在 物理 实体 上 ,AUC 和 HLR 共存 。 

(5) EIR(Equipment Identity Register) 即 移动 台 设备 识别 寄存 器 ,存储 与 移动 台 设备 
有 关 的 参数 ,可 以 对 移动 设备 进行 识别 .监视 和 闭锁 等 ,防止 未 经 许可 的 移动 设备 使 用 网 络 。 

2) 基站 子 系统 BSS 

基站 子 系统 (Base Station System,BSS) 是 移动 交换 系统 和 MS 之 间 的 桥梁 ,主要 完成 
无 线 信道 管理 和 无 线 收发 功能 。BSS 主要 包括 基站 控制 器 BSC 和 基站 收发 信 台 BTS 两 
部 分 。 

(1) BSC (Base Station Controller) 即 基站 控制 器 ,位 于 MSC 与 BTS 之 间 , 具 有 对 一 个 
或 多 个 BTS 进行 控制 和 管理 的 功能 ,主要 完成 无 线 信道 的 分 配 .BTS 和 MS 发 射 功率 的 控 
制 以 及 越 区 信道 切换 等 功能 。BSC 也 是 一 个 小 交换 机 , 它 把 局 部 网 络 汇集 后 通过 A 接口 与 
MSC 相连 。 

(2) BTS(Base Transceiver Station) 即 基站 收发 信 机 ,是 基站 子 系统 的 无 线 收发 设备 ， 
由 BSC 控制 ,主要 负责 无 线 传输 功能 ,完成 无 线 与 有 线 的 转换 ,无线 分 集 、 无 线 信 道 加 密 、 跳 
频 等 功能 。BTS 通过 Abis 接口 与 BSC 相连 ,通过 空中 接口 Um 与 MS 相连 。 

此 外 ,BSS 系统 还 包括 码 变换 和 速率 适 配 单 元 TRAU。TRAU 通常 位 于 BSC 和 MSC 
之 间 , 主 要 完成 16 kbps 的 RPE-LTP 编码 和 64 kbps 的 A 律 PCM 编码 之 间 的 码 型 变换 。 

3) 操作 维护 子 系统 OMS 

OMS 是 GSM 系统 的 操作 维护 部 分 ,GSM 系统 的 所 有 功能 单元 都 可 以 通过 各 自 的 网 
络 连接 到 OMS, 通 过 OMS 可 以 实现 GSM 网 络 各 功能 单元 的 监视 ,状态 报告 和 故障 诊断 等 
功能 。 
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OMS 分 为 两 部 分 : OMC-S(Operation and Maintenance Center-System) 操 作 维 护 中 心 - 
系统 部 分 和 OMC-R(Operation and Maintenance Center-Radio) 操作 维护 中 心 - 无 线 部 分 。 
OMC-S 用 于 NSS 系统 的 操作 和 维护 ,OMC-R 用 于 BSS 系统 的 操作 和 维护 。 

4) 移动 站 MS 

MS(Mobile Station) 移 动 站 即 手机 ,是 GSM 系统 的 用 户 设备 ,可 以 是 车 载 台 、 便 携 台 和 
手持 机 。 它 由 移动 终端 和 用 户 识别 卡 SIM 两 部 分 组 成 。 移 动 终端 主要 完成 语音 信号 处 理 
和 无 线 收发 等 功能 。 

SIM 卡 存储 了 认证 用 户 身份 所 需 的 所 有 信息 以 及 与 安全 保密 有 关 的 重要 信息 ,以 防 非 
法 用 户 人 侵 ,移动 终端 具有 插 人 了 SIM 卡 后 才能 接 人 GSM 网 络 。 

第 二 代 移 动 通信 的 安全 缺陷 主要 包括 : 单项 身份 认证 ; 使 用 明文 进行 传输 ,容易 造成 
密 钥 的 信息 泄露 ; 加 密 功能 没有 延伸 到 核心 网 ; 无 法 抗击 重 放 攻击 ; 没有 消息 完整 性 认证 ， 
无 法 保证 数据 在 链 路 传输 过 程 中 的 完整 性 ; 用 户 漫游 时 归属 网 络 不 知道 和 无 法 控制 服务 网 
络 , 如 何 使 用 自己 用 户 的 认证 参数 ; 没有 第 三 方 仲裁 功能 ; 系统 安全 缺乏 升级 能 力 等 。 


3. 第 三 代 移动 通信 系统 的 安全 机 制 


第 三 代 移动 通信 系统 在 2G 的 基础 上 进行 了 改进 ,继承 了 2G 系统 安全 的 优点 ,同时 针 
对 3G 系统 的 新 特性 ,定义 了 更 加 完善 的 安全 特征 与 安全 服务 。 未 来 的 移动 通信 系统 除了 
提供 传统 的 语音 ,数据 、 多 媒体 业务 外 ,还 应 当 能 支持 电子 商务 、 电 子 支付 .股票 交 易 、 互 联网 
业务 等 ,个 人 智能 终端 将 获得 广泛 使 用 ,网 络 和 传输 信息 的 安全 将 成 为 制约 其 发 展 的 首要 
问题 。 

随 着 向 下 一 代 网 络 (NGN) 的 演进 ,基于 IP 的 网 络 架 构 必 将 使 移动 网 络 面临 IP 网 络 固 
有 的 一 些 安全 问题 。 移 动 通 信和 网 络 最 终 会 演变 成 开放 式 的 网 络 , 能 向 用 户 提供 开放 式 的 应 
用 程序 接口 ,以 满足 用 户 的 个 性 化 需求 。 网 络 的 开放 性 以 及 无 线 传播 的 特性 将 使 安全 问题 
成 为 整个 移动 通信 系统 的 核心 问题 之 一 。 

与 2G 以 语音 业务 为 主 \ 仅 提供 少量 的 数据 业务 不 同 ,3G 可 提供 高 达 2Mbit/s 的 无 线 
数据 接 入 方式 。 其 安全 模式 也 以 数据 、 交 互 式 ,分 布 式 业务 为 主 。 

1) 第 三 代 移动 通信 系统 的 网 络 结构 

第 三 代 移 动 通信 系统 的 网 络 结构 如 图 5-19 所 示 。 

第 三 代 移动 通信 系统 由 三 部 分 组 成 : 移动 终端 无线 接 入 网 (Radio Access Network， 
RAN) 和 核心 网 (Core Network ,CN) 。 

(1) 移动 终端 。 

移动 终端 由 两 个 部 分 组 成 : 移动 设备 (Mobile Equipment, ME) 和 全 球 用 户 识别 模块 
(Universal Subscriber Identity Module,USIM) 。 移 动 设备 实现 无 线 通信 功能 ,全 球 用 户 识 
别 模块 与 SIM 卡 类 似 ,保存 了 与 运营 商 相关 的 用 户 信息 。 

(2) 无 线 接 人 网 。 

3G 中 包括 两 种 无 线 接 入 网 , 即 地 面 无 线 接 入 网 络 (UMTS Terrestrial Radio Access 
Network,UTRAN) 和 GSM/EDGE 无 线 接 入 网 络 (GSM/EDGE Radio Access Network， 
GERAN)。 地 面 无 线 接 人 网 络 含有 两 种 网 络 单元 : BS 是 RAN 在 网 络 一 侧 的 终点 ,BS 被 连 
接 到 UTRAN 的 控制 单元 (如 无 线 网 络 控制 单元 RNC) 上 。RNC 则 通过 Iu 接口 与 CN 
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相连 
移动 终端 ”| 无 线 接 入 网 1 核心 网 
PA 1 ' 
对 四 1 
1 ! 
J 中 
人 ' BTS BSC | |wscvrR GMCS GD 
由/ | 
WA | 7 ， 
/FN | BS RNC + | EIR EIR AUC 
上 1 
ly 1 
上 二 和 
~ + BS RNC 1 |3G-sGSN GGSN Cs ) 
可 
图 5-19 第 三 代 移 动 通信 系统 的 网 络 结构 
(3) 核心 网 。 


核心 网 (Core Network,CN) 主 要 有 两 个 域 : 分 组 交换 (Packet Switch) 域 和 电路 交换 
(Circuit Switch) 域 。 分 组 交换 域 是 从 GPRS 域 进 化 而 来 的 ,其 中 重要 的 网 络 单元 是 GPRS 
服务 支持 结 点 SGSN 和 GPRS 网 关 支 持 结 点 GGSN。CS 也 是 从 传统 的 GSM 网 络 进化 而 
来 ,其 中 重要 的 网 络 单元 是 MSC。SGSN 和 GGSN 是 GPRS 中 新 增加 的 网 络 单元 ,SGSN 
的 主要 作用 是 记录 移动 终端 的 当前 位 置信 息 , 并 且 在 移动 终端 与 GGSN 之 间 完 成 移动 分 组 
数据 的 发 送 和 接收 。GGSN 通过 基于 IP 的 GPRS 骨干 网 连接 到 SGSN ,然后 连接 到 GSM 
网 络 和 外 部 交换 网 。 核 心 网 还 可 以 分 为 两 部 分 : 本 地 网 络 和 服务 网 ,本 地 网 络 包含 所 有 用 
户 的 静态 信息 ,服务 网 则 处 理 用 户 设备 到 接 入 网 之 间 的 通信 。 

2) 3G 系统 的 安全 体系 

3GPP 的 接 入 安全 规范 已 经 成 熟 , 加 密 算法 和 完整 性 算法 已 经 实现 标准 化 。 基 于 IP 的 
网 络 域 的 安全 也 已 制定 出 相应 的 规范 。3GPP 的 终端 安全 、 网 络 安全 管理 规范 还 有 待 进 一 

为 实现 3G 安全 特征 的 目标 ,应 针对 它 面临 的 各 种 安全 威胁 和 攻击 ,从 整体 上 研究 和 实 
施 3G 系统 的 安全 措施 ,只 有 这 样 才 能 有 效 保障 3G 系统 的 信息 安全 。 

如 图 5-20 所 示 ,给 出 了 一 个 完整 的 3G 系统 的 安全 体系 。 

在 3G 系统 的 安全 体系 中 ,针对 不 同 的 攻击 类 型 ,分 别 定义 了 五 个 安全 特征 组 , 即 网 络 
接 人 安全 ( 工 ) ,核心 网 安全 ( 卫 )、 用 户 域 安全 ( 辕 )、 应 用 域 安全 (人 ) .安全 的 可 知性 及 可 配置 
性 (V )。 它 们 涉及 传输 层 、 归 属 层 /服务 层 和 应 用 层 ,同时 也 涉及 移动 用 户 ( 包 括 移动 设备 
MS) .服务 网 和 归属 环境 。 每 一 安全 特征 组 用 以 对 抗 某 些 威胁 和 攻击 ,实现 3G 系统 的 某 些 
安全 目标 。 

(1) 网 络 接 人 安全 。 

该 安全 特征 组 提供 用 户 安全 接 人 3G 业务 ,特别 是 对 抗 在 无 线 接 入 链 路 上 的 攻击 。 

(2) 核心 网 安全 。 

该 安全 特征 组 使 网 络 运营 商 之 间 的 结 点 能 够 安全 交换 信 令 数据 ,对 抗 在 有 限 网 络 上 的 
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攻击 。 
用 户 应 用 程序 人 服务 提供 商 应 用 程序 应 用 层 
图 5-20 3G 系统 的 安全 体系 
(3) 用 户 域 安 全 。 
该 安全 特征 组 确保 用 户 能 够 安全 接 入 网 络 。 
(4) 应 用 域 安全 。 


该 安全 特征 组 使 得 用 户 和 网 络 运 营 商 之 间 的 各 项 应 用 能 够 安全 交换 信息 。 

(5) 安全 的 可 知性 及 可 配置 性 。 

该 安全 特征 组 使 得 用 户 能 够 知道 某 个 安全 特征 组 是 否 在 和 运行, 并且 业务 的 应 用 和 设置 
是 否 依赖 于 该 安全 特征 。 

3) 3G 系统 的 接 入 安全 机 制 

3G 系统 的 接 和 人 安全 机 制 有 三 种 : 根据 临时 身份 (TMSD 识 别 ; 根据 永久 身份 (IMSI) 识 
别 ; 认证 和 密 钥 协商 (AKA)。 

AKA 机 制 完 成 移动 终端 (MS) 和 网 络 的 相互 认证 ,并 建立 新 的 加 密 密 钥 和 完整 性 密 
钥 。AKA 机 制 的 执行 分 为 两 个 阶段 : 第 一 阶段 是 认证 向 量 (AV) 从 归属 环境 (HE) 到 服务 
网 络 (SN) 的 传送 ; 第 二 阶段 是 SGSN/VLR 和 MS 执行 询问 应 答 程序 取得 相互 认证 。HE 
包括 HLR 和 鉴 权 中 心 (AUC)。 认 证 向 量 含有 与 认证 和 密 钥 分 配 有 关 的 敏感 信息 ,在 网 络 
域 的 传送 使 用 基于 七 号 信 令 的 MAPsec 协议 ,该 协议 提供 了 数据 来 源 认 证 、 数 据 完整 性 、 抗 
重 放 和 机 密 性 保护 等 功能 。 

4) 3G 安全 算法 

3G 系统 定义 了 多 种 安全 算法 : f0、f1、f2、f3、f4、f5、f6、f7、f8、f9、f1x 、f5x ,应 用 于 不 同 
的 安全 服务 。 身 份 认证 与 密 钥 分 配方 案 中 移动 用 户 登记 和 认证 参数 的 调用 过 程 与 GSM 网 
络 基 本 相同 ,不同 之 处 在 于 3GPP 认证 向 量 是 5 元 组 ,并 实现 了 用 户 对 网 络 的 认证 。AKA 
利用 fo0 至 f5* 算 法 ,这 些 算 法 仅 在 鉴 权 中 心 和 用 户 的 用 户 身 份 识别 模块 (USIM) 中 执行 。 

其 中 ,f0 算法 仅 在 鉴 权 中 心中 执行 ,用 于 产生 随机 数 RAND; fl 算法 用 于 产生 消息 认 
证 码 ( 鉴 权 中 心中 为 MAC-A ,用 户 身份 识别 模块 中 为 XMAC-A); fl * 是 重 同步 消息 认证 
算法 ,用 于 产生 MAC-S; f2 算法 用 于 产生 期 望 的 认证 应 答 ( 鉴 权 中 心中 为 XRES, 用 户 身 份 
识别 模块 中 为 RES); f3 算法 用 于 产生 加 密 密 钥 CK; f4 算法 用 于 产生 消息 完整 性 密 钥 IK; 
f5 算法 用 于 产生 匿名 密 钥 AK 和 对 序列 号 SQN 加 解密 ,以 防止 被 位 置 跟踪 ; f5 * 是 重 同步 
时 的 匿名 密 钥 生 成 算法 。 

AKA 由 SGSN/VLR 发 起 ,在 鉴 权 中 心中 产生 认证 向 量 AV= (RAND, XRES, CK， 
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IK,AUTN) 和 认证 令 牌 AUTN 二 SQN[AAK] | AMF | MAC-A。VLR 发 送 RAND 和 
AUTN 至 用 户 身 份 识别 模块 。 用 户 身 份 识别 模块 计算 XMAC-A=f1K(SQN | RAND || 
AMF) , 若 等 于 AUTN 中 的 MAC-A, 并 且 SQN 在 有 效 范围 , 则 认为 对 网 络 鉴 权 成 功 ,计算 
RES CK IK ,发 送 RES 至 VLR。VLR 验证 RES, 若 与 XRES 相符 , 则 认为 对 MS 鉴 权 成 
功 ; 否则 ,拒绝 MS 接 和 人 。 当 SQN 不 在 有 效 范围 时 ,用 户 身份 识别 模块 和 鉴 权 中 心 利用 
fl1* 算 法 进入 重新 同步 程序 ,SGSN/VLR 向 HLR/AUC 请 求 新 的 认证 向 量 。 

3G 的 数据 加 密 机 制 将 加 密 保护 延长 至 无 线 接 入 控制 器 (RNC)。 数 据 加 密使 用 f8 算 
法 ,生成 密 钥 流 块 KEYSTREAM。 对 于 MS 和 网 络 间 发 送 的 控制 信 令 信息 ,使 用 算法 {9 来 
验证 信 令 消息 的 完整 性 。 对 于 用 户 数据 和 话音 不 给 予 完整 性 保护 。MS 和 网 络 相互 认证 成 
功 后 ,用 户 身 份 识别 模块 和 VLR 分 别 将 CK 和 IK 传 给 移动 设备 和 无 线 网 络 控制 器 ,在 移动 
设备 和 无 线 网 络 控制 器 之 间 建 立 起 保密 链 路 。f8 和 f9 算法 都 是 以 分 组 密码 算法 KASUMI 
构造 的 ,KASUMI 算法 的 输入 和 输出 都 是 64bit, 密 钥 是 128bit。KASUMI 算法 在 设计 上 
具有 对 抗 差分 和 线性 密码 分 析 的 可 证 明 的 安全 性 。 

5) 第 三 代 移 动 通信 系统 安全 机 制 的 优点 

相对 于 2G 移动 通信 系统 ,3G 系统 具有 以 下 优点 : 

(1) 提供 了 双向 认证 。 不 但 提供 基站 对 MS 的 认证 ,也 提供 了 MS 对 基站 的 认证 ,可 有 
效 防止 伪 基 站 攻击 。 

(2) 提供 了 接 和 人 链 路 信 令 数据 的 完整 性 保护 。 

(3) 密码 长 度 增加 为 128bit, 改 进 了 算法 。 

(4) 3GPP 接 入 链 路 数据 加 密 延 伸 至 RNC。 

(5) 3G 的 安全 机 制 还 具有 可 拓展 性 ,为 将 来 引入 新 业务 提供 安全 保护 措施 。 

(6) 3G 能 向 用 户 提供 安全 可 视 性 操作 ,用 户 可 随时 查看 自己 所 用 的 安全 模式 及 安全 
级 别 。 

6) 第 三 代 移 动 通信 系统 安全 机 制 的 缺点 

在 密 钥 长 度 .算法 选 定 , 鉴 别 机制 和 数据 完整 性 检验 等 方面 ,3G 的 安全 性 能 远 远 优 于 
2G。 但 3G 仍然 存在 下 列 安全 缺陷 : 

(1) 没有 建立 公 钥 密码 体制 ,难以 实现 用 户 数字 签名 。 随 着 移动 终端 存储 器 容量 的 增 
大 和 CPU 处 理 能 力 的 提高 以 及 无 线 传 输 带 宽 的 增加 ,必须 着 手 建设 无 线 公 钥 基础 设施 
(WPKD) 。 

(2) 密码 学 的 最 新 成 果 ( 比 如 ECC 椭圆 曲线 密码 算法 ) 并 未 在 3G 中 得 到 应 用 。 

(3) 算法 过 多 。 

(4) 密 钥 产生 机 制 和 认证 协议 有 一 定 的 安全 隐患 。 


4. 第 四 代 移 动 通信 系统 的 安全 机 制 


1) 网 络 结构 

第 四 代 移 动 通信 系统 的 网 络 结构 如 图 5-21 所 示 。4G 系统 包括 移动 终端 .无 线 接 人 网 、 
无 线 核心 网 和 IP 骨干 网 等 四 个 部 分 。 

4G 网 络 实现 了 不 同 固定 和 无 线 平台 以 及 跨越 不 同 频带 的 无 线 网 络 的 连接 ,为 所 连接 的 
无 线 平台 和 无 线 网 络 提供 了 无 缝 的 一致 性 的 移动 计算 环境 ,并 支持 高 速 移动 环境 下 数据 的 
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图 5-21 第 四 代 移 动 通信 系统 的 网 络 结构 


高 速 传输 功能 ,能 够 对 语音 ,数据 、 图 像 进 行 高 质量 、 高 速度 的 传输 。4G 网 络 将 固定 的 有 线 
网 络 与 无 线 蜂窝 网 络 .卫星 网 络 .广播 电视 网 络 .蓝牙 等 系统 集成 和 了 融合, 这些 接 和 网络 都 将 
被 无 缝 地 接 和 人 基于 IP 的 核心 网 ,形成 一 个 公共 的 平台 ,这 个 平台 较 之 于 传统 的 平台 将 具有 
更 高 的 公共 性 、 灵 活性、 可 扩展 性 。 

2) 第 四 代 移 动 通信 系统 的 特点 

第 四 代 移 动 通信 系统 的 主要 特点 如 下 : 

(1) 多 网 络 集成 : 4G 网 络 集成 和 融合 多 种 网 络 和 无 线 通信 技术 系统 。 

(2) 全 IP 网 络 : 4G 网 络 是 一 种 基于 分 组 的 全 IP 网 络 。 

(3) 大 容量 : 4G 网 络 的 容量 较 之 于 3G 网 络 要 大 得 多 ,大 约 是 其 10 倍 左右 。 

(4) 无 颖 覆盖 : 4G 网 络 实现 了 无 缝 覆盖, 用户 可 以 在 任何 时 间 、 任 何 地 点 使 用 无 线 
网 络 。 

(5) 带宽 更 宽 : 每 个 4G 信道 将 占有 较 之 于 3G 信道 约 20 倍 宽度 的 频谱 。 

(6) 高 灵活 性 和 扩展 性 : 4G 网 络 可 以 通过 与 其 他 网 络 的 自由 连接 来 扩展 自身 的 范围 ， 
同时 网 络 中 的 用 户 和 网 络 设备 可 以 自由 增 减 。 

(7) 高 智能 性 : 4G 网 络 实现 了 终端 设备 设计 和 操作 的 智能 化 ,可 以 自 适应 地 进行 资源 
分 配 、 业 务 处 理 和 信道 环境 适应 。 

(8) 高 兼容 性 : 4G 网 络 采用 的 是 开放 性 的 接口 ,可 以 实现 多 网 络 互联 、 多 用 户 融 合 。 

3) 第 四 代 移 动 通信 系统 面临 的 安全 问题 

随 着 通信 技术 的 迅速 发 展 .我 国 也 已 经 进入 到 4G 的 潮流 之 中 ,但 是 随 着 在 4G 通信 技 
术 的 日 益 发 展 ,其 漏洞 也 日 益 暴露 ,引发 了 一 系列 的 安全 问题 。 其 中 ,最 主要 的 安全 问题 包 
括 在 4G 网 络 规模 的 扩大 、 通 信 技 术 以 及 相关 业务 的 不 断 发 展 和 来 自 外 部 网 络 的 安全 威胁 。 

网 络 规模 的 扩大 ,顾名思义 ,是 指 网 络 的 使 用 范围 的 扩展 面积 较 大 ,网 络 的 管理 系统 已 
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经 跟 不 上 网 络 拓 展 的 步伐 ,这 样 就 导致 在 管理 方面 存在 着 较 大 的 问题 。 

来 自 外 部 网 络 的 安全 威胁 也 不 忽视 ,这 些 威胁 主要 包括 网 络 病 毒 的 传播 以 及 4G 网 络 
存在 的 相关 漏洞 导致 黑客 入 侵 等 方面 。 其 中 ,仅仅 是 手机 病毒 ,就 存在 着 很 多 的 安全 威胁 。 
手机 病毒 可 以 分 为 短信 息 类 手机 病毒 .蠕虫 类 手机 病毒 以 及 常见 的 木马 类 手机 病毒 ,这些 来 
自 于 外 界 的 网 络 安全 危害 ,都 会 对 在 4G 网 络 造 成 威胁 等 ,这 些 问 题 的 存在 将 严重 制约 4G 
网 络 技术 安全 的 拓展 ,同时 也 不 利于 我 国 通信 技 术 的 发 展 。 

目前 ,我 国 的 4G 网 络 技术 尚 处 于 起 步 阶 段 ,尚未 建立 有 效 的 统一 化 管理 ,同时 4G 网 络 
安全 技术 还 难以 与 其 他 的 移动 通信 相 兼 容 , 难 于 做 到 与 全 球 移动 通信 设备 进行 安全 的 、 无 颖 
辽 的 漫游 ,这 样 会 使 得 移动 用 户 在 使 用 上 产生 诸多 的 不 便 。 

4G 网 络 技术 是 3G 网 络 的 升级 版 本 ,但 是 4G 网 络 技术 并 未 达到 相关 的 技术 要 求 ,在 
3G 网 络 技术 的 覆盖 区 域 尚未 达到 全 面 的 覆盖 ,两 个 覆盖 的 区 域 不 能 相互 兼容 ,同时 难以 保 
证 4G 网 络 技术 的 覆盖 区 域 的 安全 性 能 。 

通信 系统 容量 的 限制 ,也 大 大 制约 着 手机 的 下 载 速度 ,虽然 4G 网 络 技术 的 下 载 速度 要 
比 3G 的 速度 快 很 多 ,但 是 受 4G 网 络 技术 系统 限制 的 同时 手机 用 户 不 断 地 增加 ,网 络 的 下 
载 速度 将 会 逐渐 降低 ,同时 下 载 的 文件 是 否 都 具备 安全 的 性 能 也 不 能 保证 ,因此 如 何 解决 这 
一 问题 ,将 是 被 列 为 保证 4G 网 络 安全 发 展 研究 的 重要 解决 问题 之 一 。 

4) 4G 网 络 的 安全 对 策 

目前 ,4G 网 络 最 大 的 安全 问题 是 在 应 用 领域 上 存在 的 安全 隐患 ,一 旦 这 些 问 题 出 现 将 
带 来 非常 严重 的 后 果 。 因 此 ,需要 与 4G 网 络 相 关 的 所 有 成 员 共 同 关注 。 第 一 ,开发 商 要 加 
强 4G 网 络 安全 机 制 的 研发 工作 ; 第 二 ,运营 商 应 当 采 取 严 格 的 安全 防护 措施 ; 第 三 ,4G 网 
络 用 户 也 要 提高 自身 的 安全 防范 意识 。 针 对 4G 网 络 的 安全 对 策 如 下 : 

(1) 建立 安全 的 移动 通信 系统 。 

要 推进 4G 网 络 技术 不 断 发 展 ,就 要 做 好 相关 的 安全 措施 ,分 析 4G 网 络 的 安全 需求 , 确 
定 4G 网 络 安全 的 目标 ,保证 移动 平台 硬件 与 应 用 软件 以 及 操作 系统 的 完整 性 ,明确 使 用 者 
的 身份 权限 ,并 保证 用 户 的 隐私 安全 。 

(2) 建立 安全 认证 体系 。 

目前 的 移动 通信 安全 体制 ,通常 都 采用 私 钥 密 码 的 单一 体制 。 但 是 这 样 的 私 钥 密 码 体 
制 难以 全 方位 地 保证 4G 网 络 的 安全 。 应 当 针 对 不 同 的 安全 特征 与 服务 ,采用 公 钥 密码 体 
制 和 私 钥 密 码 体制 的 混合 ,与 此 同时 加 快 公 钥 的 无 线 基础 设施 建设 ,建立 以 CA 为 认证 中 的 
核心 安全 认证 体系 。 

(3) 发 展 新 型 的 4G 网 络 加 密 技 术 。 

要 推进 4G 网 络 技术 安全 的 发 展 , 就 必须 发 展 新 型 的 4G 网 络 加 密 技术 ,如 量子 密码 技 
术 ,椭圆 曲线 密码 技术 、 生 物 识别 技术 等 移动 通信 系统 加 密 技术 ,提高 加 密 算法 和 认证 算法 
的 自身 抗 攻击 能 力 , 保 证 4G 网 络 技术 在 传输 机 密 信息 时 的 完整 性 、 可 控制 性 ,不 可 否认 性 
以 及 可 用 性 。 

(4) 加 强 4G 网 络 安全 的 防范 意识 。 

单纯 地 依靠 开发 商 、 网 络 管理 者 的 努力 是 不 够 的 。 用 户 能 否 安全 地 使 用 4G 网 络 ,更 是 
在 4G 网 络 技术 发 展 中 最 不 容 忽 视 的 重要 环节 。 

为 了 促进 4G 网 络 的 发 展 ,用 户 自身 应 该 加 强 自身 的 安全 防范 意识 。 例 如 ,不 访问 不 安 
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全 的 钓鱼 网 站 ; 不 到 盗版 网 站 下 载 有 可 能 存在 病毒 的 文件 ; 定期 地 清理 手机 中 的 垃圾 ; 定 


6.4 本 章 小 结 


国际 互联 网 或 下 一 代 网 络 (IPv6) 是 物 联网 网 络 层 的 核心 载体 。 在 物 联网 中 ,原来 在 国 
际 互联 网 遇 到 的 各 种 攻击 问题 依然 存在 ,甚至 更 普遍 ,因此 物 联 网 需要 有 更 完善 的 安全 防护 
机 制 。 

目前 的 物 联 网 核心 网 主要 是 运营 商 的 核心 网 络 , 核 心 网 安全 防护 系统 可 以 为 物 联 网 终 
端 设备 提供 本 地 和 网 络 应 用 的 身份 认证 、 网 络 过 滤 \ 访 问 控制 ,授权 管理 等 安全 服务 。 核 心 
网 的 安全 防护 技术 主要 涉及 网 络 加 密 技术 、 防 火 墙 技 术 、 隧 道 技 术 、 网 络 虚 拟 化 技术 、 黑 客 攻 
击 与 防范 、 计 算 机 病毒 防护 、 入 侵 检测 技术 、 网 络 安全 扫描 技术 等 。 

防火 墙 技术 是 一 种 隔离 控制 技术 ,在 某 个 机 构 的 网 络 和 不 安全 的 网 络 ( 如 Internet) 之 
间 设 置 屏障 ,阻止 对 信息 资源 的 非法 访问 ,也 可 以 使 用 防火 墙 阻止 重要 信息 从 企业 的 网 络 上 
被 非法 输出 。 

隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数 据 的 方式 。 使 用 隧道 
传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 这 些 其 他 协议 的 数据 帧 或 
包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 负载 数据 能 够 通 
过 互联 网 络 传递 。 

网 络 虚拟 化 一 般 指 虚拟 专用 网 络 (Virtual Private Network,VPN)。VPN 对 网 络 连接 
的 概念 进行 了 抽象 ,允许 远程 用 户 访问 组 织 的 内 部 网 络 ,就 像 物理 上 连接 到 该 网 络 一 样 。 网 
络 虚拟 化 可 以 帮助 保护 IT 环境 ,防止 来 自 Internet 的 威胁 ,同时 使 用 户 能 够 快速 安全 的 访 
问 应 用 程序 和 数据 。 

黑客 一 般 是 指 网 络 的 非法 入 侵 者 ,他 们 往往 是 优秀 的 程序 员 , 具 有 计算 机 网 络 和 物 联网 
的 软件 及 硬件 的 高 级 知识 ,并 有 能 力 通过 一 些 特殊 的 方法 剖析 和 攻击 网 络 。 黑 客 以 破坏 网 
络 系统 为 目的 ,往往 采用 某 些 不 正当 的 手段 找 出 网 络 的 漏洞 ,并 利用 网 络 漏洞 破坏 计算 机 网 
络 或 物 联 网 ,从 而 危害 网 络 的 安全 。 

针对 黑客 各 种 不 同 的 攻击 行为 ,网 络 管理 员 可 以 采取 的 防御 对 策 包括 : 屏蔽 可 疑 的 IP 
地 址 .过 滤 信 息 包 、 修 改 系统 协议 .修补 安 全 漏洞 、 及 时 备份 重要 数据 .使 用 加 密 机 制 传输 数 
据 和 安装 安全 软件 等 。 

计算 机 病毒 是 编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 网 络 功能 或 者 数据 的 代码 ,能 
影响 计算 机 网 络 的 使 用 ,能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

计算 机 病毒 具有 传染 性 、 繁 殖 性 .潜伏 性 、 隐 项 性 .可 触发 性 和 破坏 性 等 特征 。 

为 了 保证 物 联 网 的 正常 运行 ,阻止 计算 机 病毒 或 者 流氓 软件 入 侵 物 联网 系统 , 物 联网 用 
户 应 当 采 取 的 防御 措施 包括 : 不 要 随便 浏览 陌生 的 网 站 、 安 装 杀毒 软件 .安装 防火 墙 、 及 时 
安装 系统 漏洞 补丁 \ 不 要 轻易 打开 陌生 的 电子 邮件 附件 .使 用 U 盘 时 要 先 杀 毒 、 对 下 载 的 文 
件 进行 杀 病 毒 和 及 时 备份 等 。 

入 侵 检测 技术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系 
统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 。 
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进行 人 侵 检测 的 软件 与 硬件 相 结 合 , 便 构成 了 入 侵 检 测 系 统 (Intrusion Detection System， 
IDS) 。 

扫描 工具 是 一 种 利用 网 络 安全 扫描 技术 自动 地 检测 目标 主机 安全 弱点 的 程序 。 它 能 够 
发 现 目标 主机 开放 的 端口 和 运行 的 服务 ,是 否 存在 系统 漏洞 和 安全 弱点 等 。 它 通过 与 目标 
主机 开放 的 端口 建立 连接 或 请 求 服务 ,如 http ,telnet 等 ,获取 目标 主机 的 应 答 信息 ,以 搜集 
相关 的 信息 ,如 操作 系统 类 型 等 ,从 而 发 现 目标 主 机 存在 的 安全 弱点 。 它 是 一 把 双 刃 剑 , 利 
用 网 络 安全 扫描 工具 的 扫描 结果 ,可 以 为 攻击 目标 网 络 系统 提供 指导 ,同时 还 可 以 用 于 网 络 
系统 的 安全 评测 ,评估 网 络 系统 的 安全 性 ,对 系统 存在 的 漏洞 提出 修补 建议 。 因 此 ,网 络 安 
全 扫描 工具 既是 网 络 攻 击 的 重要 武器 之 一 ,同时 也 是 网 络 安全 防御 的 重要 手段 之 一 。 

无 线 局 域 网 一 般 用 于 较 小 范围 的 无 线 通信 ,覆盖 范围 比较 小 ,一 般 为 一 栋 建 筑 物 内 或 房 
间 内 ,采用 IEEE 802. 11 系列 标准 ,传输 速率 ,一般 在 11 一 56Mbps 之 间 , 连 接 距离 一 般 限制 
在 50 一 100m, 工 作 频段 为 2. 4GHz。 

无 线 局 域 网 产品 面临 的 安全 隐患 主要 有 容易 入 侵 、 非 法 的 接 入 点 、 未 经 授权 使 用 服务 、 
服务 和 性 能 的 限制 .地址 欺骗 和 会 话 拦截 、 流 量 分 析 与 流量 侦 听 、 高 级 入 侵 等 几 种 。 

到 目前 为 止 ,已 经 有 很 多 种 无 线 局 域 网 的 安全 技术 ,包括 物理 地 址 过 滤 、 服 务 区 标识 符 
(SSID) 匹 配 有线 对 等 保密 (WEP) .端口 访问 控制 技术 .WPA IEEE 802. 11i 和 WAPI 等 。 

IEEE 的 802. 16 标准 是 用 来 标准 化 空中 接口 和 无 线 本 地 环 路 与 耦合 的 相关 功能 , 它 是 
一 种 无 线 城 域 网 的 革命 性 标准 ,可 以 为 数据 、 视 频 和 语音 业务 提供 高 速 的 无 线 接 入 服务 。 
IEEE 802. 16 的 主要 目的 是 提供 宽带 无 线 接 人 ,因此 它 被 认为 是 一 种 取代 xDSL 等 有 限 宽 
带 接 人 的 有 力 替 代 者 。 该 标准 的 主要 优势 在 于 可 以 快速 .灵活 地 进行 网 络 部 署 , 从 而 降低 了 
网 络 的 建设 成 本 。 对 于 城市 等 人 口 密集 区 域 和 农村 等 没有 有 线 网 络 基础 的 网 络 建设 ,无线 
宽带 接 入 设备 的 优势 是 非常 明显 的 。 

WiMAX/802.16 网 络 体系 包括 : 核心 网 .用 户 基 站 (SS) 、 基 站 (BS) 中继站 (RS)、 用 户 
终端 设备 (TE) 和 网 管 。 

蓝牙 技术 是 一 个 开放 性 、 短 距离 无 线 通信 的 标准 , 它 可 以 用 在 较 短 距离 内 取代 多 种 有 线 
电线 连接 方案 ,通过 统一 的 短 距离 无 线 链 路 在 各 种 数字 设备 之 间 实 现 方便 、 快 捷 、 灵 活 、 安 
全 、 低 成 本 、 小 功 耗 的 语音 和 数据 通信 。 

蓝牙 标准 体系 中 的 协议 按 特 别 兴趣 小 组 SIG 的 关注 程度 分 为 四 层 : 核心 协议 .串口 仿 
真 协议 (RFCOMM) .电话 控制 协议 (Telephone Control Protocol Specification,TCS) 和 选用 
协议 。 

蓝牙 标准 中 定义 了 3 种 网 络 安全 模式 : 非 安全 模式 、 强 制 业务 级 安全 模式 和 强制 链 路 
级 安全 模式 。 

蓝牙 安全 体系 中 主要 使 用 3 种 密 钥 以 确保 安全 的 数据 传输 : 个 人 识别 码 (PIN) 、 链 路 密 
钥 和 加 密 密 钥 。 其 中 最 重要 的 是 链 路 密 钥 ,用 于 两 个 蓝牙 设备 之 间 的 相互 鉴别 。 

ZigBee 技术 是 可 以 实现 短 距离 无 线 通 信 的 新 兴 技 术 , 它 以 功 耗 低 、 成 本 低 、 复 杂 程度 低 
优胜 于 其 他 的 短 距离 无 线 通 信 技 术 。 

ZigBee 技术 的 主要 特点 包括 : 功 耗 低 、 成 本 低 、 较 小 的 传输 范围 .时 延 短 、 网 络 容量 
数据 传输 时 的 可 靠 性 较 高 安全 性 高 等 。 

ZigBee 建立 在 IEEE 802. 15. 4 标准 之 上 , 它 确定 了 可 在 不 同 制造 商 之 间 共 享 的 应 用 岗 
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要 。IEEE 802. 15.4 仅 定 义 了 物理 层 和 数据 链 路 层 。 

ZigBee 兼容 的 产品 工作 在 IEEE 802. 15. 4 的 物理 层 之 上 ,可 以 工作 在 全 球 通用 标准 的 
2. 4GHz、 美 国标 准 的 915MHz 和 欧洲 标准 的 868MHz 三 个 的 频段 上 ,并 且 在 这 三 个 频段 上 
分 别 具 有 250kbps、40kbps 和 20kbps 的 最 高 数据 传输 速率 。 

IEEE 802. 15.4 的 MAC 协议 包括 以 下 功能 : 设备 之 间 无 线 链 路 的 建立 、 维 护 和 结束 ; 
确认 模式 的 帧 传输 与 接收 ; 信道 接 入 控制 ; 帧 校 验 ; 预 留 时 隙 管理 ; 广播 信息 管理 等 。 同 
时 ,使 用 CSMA-CA 机 制 和 应 答 重 传 机 制 ,实现 了 信道 的 共享 及 数据 帧 的 可 靠 传输 。 

ZigBee 网 络 层 的 主要 功能 是 负责 拓扑 结构 的 建立 和 网 络 连接 的 维护 ,包括 设计 连接 和 
断 开 网 络 时 所 采用 的 机 制 . 帧 传输 过 程 中 所 采用 的 安全 性 机 制 . 设 备 的 路 由 发 现 和 转交 机 
制 等 。 

ZigBee 应 用 层 主要 负责 把 不 同 的 应 用 映射 到 ZigBee 网 络 ,主要 包括 三 部 分 : 与 网 络 层 
连接 的 应 用 支持 子 层 (Application Support Sublayer, APS)、ZigBee 设备 对 象 (ZigBee 
Device Object,ZDO) 和 ZigBee 的 应 用 层 框 架 (Application Framework,AF) 。 

超 宽带 (UWB) 技 术 起 源 于 20 世纪 50 年 代 末 ,早期 主要 作为 军事 技术 在 雷达 探测 和 定 
位 等 应 用 领域 中 使 用 。UWB 通信 技术 的 主要 特点 有 低 成 本 、 传 输 速 率 高 ,空间 容量 大 和 低 
功 耗 等 。 

超 宽带 面临 的 信息 安全 威胁 包括 : 拒绝 服务 攻击 、 密 钥 汇 露 \ 假 冒 攻击 和 路 由 攻击 。 

针对 超 宽带 网 络 应 用 过 程 中 容易 发 生 的 信息 安全 问题 ,国际 标准 化 组 织 接受 了 由 
WiMedia 联盟 提出 的 《高 速率 超 宽 带 通信 的 物理 层 和 媒体 接 人 控制 标准 》 即 ECMA-368 
(ISO/VIEC26907) , 它 规范 了 相应 的 安全 性 要 求 。 

ECMA-368(ISO/TEC26907) 标 准 定义 了 两 种 安全 级 别 : 无 安全 和 强 安全 保护 。 安 全 保 
护 包括 数据 加 密 、 消 息 认证 和 重播 攻击 防护 ; 安全 帧 提供 对 数据 帧 、 选 择 帧 和 控制 帧 的 
保护 。 

ECMA-368(ISO/IEC26907) 标 准 定义 了 三 种 安全 模式 ,用 于 控制 设备 间 的 通信 。 两 台 
设备 通过 四 次 握手 协议 来 建立 安全 关系 。 一 旦 两 台 设备 建立 了 安全 关系 ,它们 将 使 用 安全 
帧 来 作为 数据 帧 ,如 果 接 收 方 需要 接收 安全 帧 ,而 发 送 方 无 安全 帧 ,那么 接收 方 将 丢弃 该 帧 。 

到 目前 为 止 ,移动 通信 系统 的 发 展 已 经 经 历 了 四 个 时 代 。 

第 一 代 移 动 通信 系统 简称 为 1G ,主要 采用 蜂窝 组 网 和 频 分 多 址 (FDMA) 技 术 。 由 于 受 
到 传输 带宽 的 限制 ,不 能 进行 移动 通信 的 长 途 漫游 ,只 能 是 一 种 区 域 性 的 移动 通信 系统 。 第 
一 代 移 动 通信 有 多 种 制式 ,我 国 主 要 采用 的 是 TACS。 

第 二 代 移 动 通信 系统 以 传输 话音 和 低速 数据 业务 为 目的 ,因此 又 称 为 窄带 数字 通信 系 
统 。 第 二 代数 字 蜂 窝 移动 通信 系统 的 典型 代表 是 美国 的 DAMPS 系统 IS-95 系统 和 欧洲 的 
GSM 系统 。 

第 三 代 移 动 通信 系统 能 够 同时 传送 声音 及 数据 信息 ,速率 一 般 在 几 百 kbps 以 上 。3G 
是 指 将 无 线 通 信 与 国际 互联 网 等 多 媒体 通信 结合 的 新 一 代 移 动 通信 系统 ,目前 3G 存在 3 
种 标准 : CDMA2000、WCDMA、TD-SCDMA。 

第 四 代 移 动 通信 系统 集 LTE 技术 与 WiMAX 技术 于 一 体 ,并 能 够 快速 传输 数据 、 高 质 
量 、 音 频 、 视 频 和 图 像 等 。4G 能 够 以 100Mbps 的 峰值 速率 下 载 , 比 目 前 的 家 用 宽带 ADSL 
快 25 倍 ,并 能 够 满足 几乎 所 有 用 户 对 于 无 线 服务 的 要 求 。 此 外 ,4G 可 以 在 DSL 和 有 线 电 
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视 调 制 解 调 器 没有 覆盖 的 地 方 部 署 ,然后 再 扩展 到 整个 地 区 。 

移动 通信 系统 面临 的 安全 威胁 来 自 网 络 协议 和 系统 的 弱点 ,攻击 者 可 以 利用 网 络 协议 
和 系统 的 弱点 非 授 权 访 问 敏感 数据 \ 非 授权 处 理 敏感 数据 干扰 或 滥用 网 络 服务 ,对 用 户 和 
网 络 资源 造成 损失 。 

第 一 代 移动 通信 系统 仅仅 实现 了 一 个 简单 的 模拟 语音 的 传输 ,其 安全 性 能 并 不 高 ,只 是 
一 个 无 机 密 性 的 保护 机 制 。 

在 GSM 系统 中 ,为 了 实现 安全 特性 和 目标 , 主要 采取 了 以 下 安全 措施 : 在 接 入 网 络 方 
面 采用 对 用 户 鉴 权 ; 在 无 线 链 路 上 采用 对 通信 信息 加 密 ; 用 户 身 份 鉴别 采用 临时 识别 码 
(TMSD 保 护 ; 对 移动 设备 采用 设备 识别 ; SIM 卡 用 PIN 码 保护 。 

WCDMA TD-SCDMA 的 安全 规范 由 以 欧洲 为 主体 的 3GPP 制定 ,CDMA2000 的 安全 
规范 由 以 北美 为 首 的 3GPP2 制定 。 

与 2G 以 语音 业务 为 主 \ 仅 提供 少量 的 数据 业务 不 同 ,3G 可 提供 高 达 2Mbps 的 无 线 数 
据 接 人 方式 。 其 安全 模式 也 以 数据 交互 式 .分布 式 业务 为 主 。 

保证 4G 网 络 技术 安全 发 展 给 予 实施 的 措施 包括 : 建立 移动 通信 系统 的 安全 机 制 、 密 码 
体制 的 改进 以 及 完善 安全 认证 体系 、 发 展 新 型 的 4G 网 络 加 密 技术 .加 强 4G 网 络 技术 安全 
的 防范 意识 等 。 


像 习 思 考题 


. 物 联 网 网 络 层 安全 主要 涉及 哪些 安全 技术 ? 
.什么 是 防火 墙 ? 

.从 工作 原理 来 分 类 ,防火 墙 技术 可 以 分 为 哪些 类 别 ? 
.防火 墙 具 有 哪些 功能 ? 

.什么 网 络 虚拟 化 技术 ? 

. 什么 是 隧道 技术 ? 常见 的 隧道 技术 包括 哪些 ? 

. 请 简要 说 明 IPSec 隧道 技术 的 工作 原理 。 

. 什么 是 黑客 ?黑客 常用 的 攻击 方法 包括 哪些 ? 

. 防范 黑客 攻击 主要 有 哪些 对 策 ? 

. 什么 是 计算 机 病毒 ? 计算 机 病毒 具有 哪些 特征 ? 

. 计算 机 病毒 如 何 分 类 ? 

12. 为 了 阻止 计算 机 病毒 的 感染 ,应 采取 哪些 预防 措施 ? 
13. 什么 是 入 侵 检测 技术 ? 入 侵 检 测 的 过 程 分 为 哪些 步 又 ? 
14. 请 画图 表示 CIDF 提出 的 入 侵 检测 系统 的 通用 模型 。 
15. 常用 的 入 侵 检测 系统 检测 方法 包括 哪些 ? 

16. 网 络 安全 扫描 技术 主要 包括 哪些 技术 ? 

17. 无 线 局 域 网 的 特点 和 主要 标准 是 什么 ? 无 线 局 域 网 具有 什么 优点 ? 
18. 无 线 局 域 网 的 安全 隐患 包括 哪些 方面 ? 

19. 无 线 局 域 网 包括 哪些 安全 技术 ? 

20. 蓝牙 技术 的 特点 是 什么 ? 
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密 钥 ? 
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28. 
29; 
30. 
31, 
32, 
.第 四 代 移动 通信 系统 的 特点 是 什么 ? 
34. 
3 
36. 
3 
38. 
39, 
40, 
41， 
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蓝牙 标准 体系 中 的 协议 包括 哪些 协议 ? 

请 画图 说 明 微 微 网 (Piconet) 和 散射 网 络 (Scatternet) 。 

蓝牙 标准 中 定义 了 哪 几 种 网 络 安全 模式 ? 

蓝牙 安全 体系 中 主要 使 用 哪些 密 钥 以 确保 安全 的 数据 传输 ? 其 中 最 重要 的 是 哪 种 


ZigBee 技术 的 主要 特点 是 什么 ? 

请 分 别 从 物理 层 ,数据 链 路 层 、 网 络 层 、 应 用 层 分 析 ZigBee 技术 标准 。 

超 宽带 通信 技术 的 主要 特点 是 什么 ? 

超 宽带 面临 哪些 信息 安全 威胁 ? 
ECMA-368(ISO/IEC26907) 标 准 的 主要 内 容 是 什么 ? 

针对 UWB 网 络 中 基于 数据 报 文 的 拒绝 服务 攻击 ,可 以 采用 什么 防御 措施 ? 
移动 通信 系统 的 发 展 已 经 经 历 了 哪些 时 代 ? 

中 国 的 3 个 3G 无 线 接口 标准 是 什么 ? 各 有 什么 特点 ? 


移动 通信 系统 面临 的 安全 威胁 是 什么 ? 
第 一 代 移动 通信 系统 的 安全 机 制 是 什么 ? 
请 画图 说 明 GSM 系统 的 网 络 结构 。 

第 二 代 移 动 通 信和 系统 的 安全 机 制 是 什么 ? 
第 三 代 移动 通信 系统 的 安全 机 制 是 什么 ? 
第 四 代 移 动 通信 系 统 的 特点 是 什么 ? 

4G 网 络 技术 面临 的 安全 问题 是 什么 ? 
保证 4G 网 络 安全 包括 哪些 措施 ? 
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G6.1 云 计算 安全 
》— 


6.1.1 云 计 算 概述 
1. 云 计 算 思想 的 产生 


传统 模式 下 ,企业 建立 一 套 IT 系统 不 仅仅 需要 购买 硬件 等 基础 设施 ,还 有 购买 软件 的 
许可 证 ,需要 专门 的 人 员 维 护 。 当 企业 的 规模 扩大 时 还 要 继续 升级 各 种 软 硬 件 设施 以 满足 
需要 。 对 于 企业 来 说 ,计算 机 等 硬件 和 软件 本 身 并 非 他 们 真正 需要 的 ,它们 仅仅 是 完成 工 
作 提供 效率 的 工具 而 已 。 对 个 人 来 说 ,电脑 需要 安装 许多 软件 ,而 许多 软件 是 收费 的 ,对 不 
经 常 使 用 该 软件 的 用 户 来 说 购买 是 非常 不 划算 的 。 那 么 ,能 否 由 厂商 提供 这 样 的 服务 ,使 我 
们 可 以 租用 而 不 是 购买 所 需要 的 软件 ? 这 样 我 们 只 需要 在 使 用 时 付 少 量 “ 租 金 " 即 可 ,从 而 
节省 许多 购买 软 硬 件 的 资金 。 

我 们 每 天 都 要 用 电 ,但 我 们 不 是 每 家 自 备 发 电机 , 它 由 电厂 集中 提供 ; 我 们 每 天 都 要 用 
自来水 ,但 我 们 不 是 每 家 都 有 井 , 它 由 自来水 厂 集中 提供 。 这 种 模式 极 大 地 节约 了 资源 , 方 
便 了 我 们 的 生活 。 面 对 计算 机 给 我 们 带 来 的 困扰 ,我们 可 不 可 以 像 使 用 水 和 电 一 样 使 用 计 
算 机 资源 ? 这 些 想法 最 终 导 致 了 云 计算 的 产生 。 

云 计算 的 最 终 目 标 是 将 计算 、 服 务 和 应 用 作为 一 种 公共 设施 提供 给 公众 ,使 人 们 能 够 像 
使 用 水 、 电 、 煤 气 和 电话 那样 使 用 计算 机 资源 。 

云 计算 模式 与 电厂 集中 供电 模式 类 似 。 在 云 计算 模式 下 ,用 户 的 计算 机 会 变 得 十 分 简 
单 , 或 许 不 大 的 内 存 、 不 需要 硬盘 和 各 种 应 用 软件 ,就 可 以 满足 我 们 的 需求 ,因为 用 户 的 计算 
机 除了 通过 浏览 器 给 “ 云 ? 发 送 指令 和 接收 数据 外 基本 上 什么 都 不 用 做 便 可 以 使 用 云 服务 提 
供 商 的 计算 资源 ,存储 空间 和 各 种 应 用 软件 。 这 就 像 连接 “显示 器 "和 “主机 ”的 电线 无 限 长 ， 
从 而 可 以 把 显示 器 放 在 使 用 者 的 面前 ,而 主机 放 在 远 到 甚至 计算 机 使 用 者 本 人 也 不 知道 的 
地 方 。 云 计算 把 连接 “显示 器 ”和 “主机 ”的 电线 变 成 了 网 络 , 把 “主机 ” 变 成 云 服务 提供 商 的 
服务 器 集群 。 

在 云 计 算 环境 下 ,用 户 的 使 用 观念 也 会 发 生 彻底 的 变化 : 从 “购买 产品 ”到 “购买 服务 ” 
转变 ,因为 他 们 直接 面 对 的 将 不 再 是 复杂 的 硬件 和 软件 ,而 是 最 终 的 服务 。 用 户 不 需要 拥有 
看 得 见 、 摸 得 着 的 硬件 设施 ,也 不 需要 为 机 房 支付 设备 供电 、 空 调制 冷 . 专 人 维护 等 等 费用 ， 


198 


vt 


物 联 网 安全 技术 


并 且 不 需要 等 待 漫长 的 供 货 周 期 项 目 实施 等 元 长 的 时 间 , 只 需要 把 钱 汇 给 云 计算 服务 提供 
商 , 我 们 将 会 马上 得 到 需要 的 服务 。 


2. 云 计算 的 概念 


云 计算 是 一 种 新 兴 的 商业 计算 模型 , 它 利用 高 速 互联 网 的 传输 能 力 ,将 数据 的 处 理 过 程 
从 个 人 计算 机 或 服务 器 转移 到 一 个 大 型 的 计算 中 心 ,并 将 计算 能 力 ,存储 能 力 当 作 服 务 来 提 
供 , 就 如 同 电力 、 自 来 水 一 样 按 使 用 量 进行 计 费 。 

云 计 算 基 本 原理 是 计算 分 布 在 大 量 的 分 布 式 计算 机 上 ,而 非 本 地 计算 机 或 远程 服务 器 
中 ,从 而 使 企业 数据 中 心 的 运行 与 互联 网 相似 。 这 使 企业 能 够 将 资源 切换 到 需要 的 应 用 上 ， 
根据 需求 访问 计算 机 和 存储 系统 。 

云 计算 的 核心 是 新 一 代数 据 中 心 技术 ,包括 绿色 IT 高 性 能 (网 格 ) 计 算 、 分 布 式 计算 以 
及 数据 中 心虚 拟 化 等 。 云 计算 作为 传统 计算 机 技术 与 网 络 融合 的 产物 ,可 以 将 各 类 资源 以 
服务 的 形式 向 用 户 提供 ,具有 可 虚拟 化 性 ` 动 态 性 和 可 伸缩 性 ,被 认为 是 信息 产业 的 又 一 次 
重大 革命 。 虚 拟 化 及 虚拟 机 概念 是 20 世纪 60 年 代 由 IBM 提出 ,主要 通过 将 有 限 的 固定 的 
资源 根据 不 同 需求 进行 重新 规划 以 达到 简化 管理 ,优化 资源 的 目的 。 

“ 云 ? 是 一 些 可 以 自我 维护 和 管理 的 虚拟 计算 资源 ,通常 为 一 些 大 型 服务 器 集群 ,包括 计 
算 服务 器 、 存 储 服务 器 、Web 服务器、 宽带 资源 等 等 。 云 计算 将 所 有 的 计算 资源 集中 起 来 ， 
并 由 软件 实现 自动 管理 ,无须 人 为 参与 。 这 使 得 应 用 提供 者 无 须 为 烦琐 的 细节 而 烦恼 ,能 够 
更 加 专注 于 自己 的 业务 ,有 利于 创新 和 降低 成 本 。 有 人 打 了 个 比方 : 这 就 好 比 是 从 古老 的 
单 台 发 电机 模式 转向 了 电厂 集中 供电 的 模式 。 它 意味 着 计算 能 力也 可 以 作为 一 种 商品 进行 
流通 ,就 像 煤气 水 电 一 样 , 取 用 方便 ,费用 低廉 。 最 大 的 不 同 在 于 , 它 是 通过 互联 网 进行 传 
输 的 。 云 计算 是 并 行 计算 (Parallel Computing) 、 分 布 式 计算 (Distributed Computing) 和 网 
格 计算 (Grid Computing ) 的 发 展 ,是 虚拟 化 (Virtualization)、 效 用 计算 (Utility 
Computing) ,IaaS( 基 础 设施 即 服 务 )、PaaS( 平 台 即 服务 )、SaaS( 软 件 即 服 务 ) 等 概念 混合 演 
进 并 跃升 的 结果 。 云 计算 是 网 格 计算 的 商业 演化 版 。 

目前 , 云 计算 并 没有 统一 的 定义 ,这 也 与 云 计算 本 身 特征 很 相似 。 维 基 百 科 对 云 计算 的 
定义 是 : 云 计 算是 一 种 基于 互联 网 的 计算 新 方式 ,通过 互联 网 上 异 构 、 自 治 的 服务 为 个 人 和 
企业 提供 按 需 即 取 的 计算 。 由 于 资源 是 在 互联 网 上 ,而 互联 网 通常 以 云 状 图 案 来 表示 ,因此 
以 云 来 类 比 这 种 计算 服务 ,同时 云 也 是 对 底层 基础 设施 的 一 种 抽象 概念 。 云 计算 的 资源 是 
动态 扩展 且 虚 拟 化 的 ,通过 互联 网 提供 ,终端 用 户 不 需要 了 解 云 中 基础 设施 的 细节 ,不 必 具 
有 专业 的 云 技 术 知 识 , 也 无 须 直接 进行 控制 ,只 关注 自身 真正 需要 什么 样 的 资源 以 及 如 何 通 
过 网 络 来 获得 相应 的 服务 。 关 于 云 计算 的 描述 ,在 当前 具有 的 共同 特征 是 : 云 是 一 种 服务 ， 
类 似 水 电 一 样 , 按 需 使 用 .灵活 付费 ,使 用 者 只 关注 服务 本 身 。H3C 的 云 计算 理念 认为 云 计 
算是 一 种 新 的 IT 服务 模式 ,支持 大 规模 计算 资源 的 虚拟 化 ,提供 按 需 计算 动态 部 署 、 灵 活 
扩展 能 力 。 


3. 云 计算 的 服务 模式 
云 计算 平台 包括 如 图 6-1 所 示 的 三 种 典型 服务 模式 : 
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pA 软件 即 服务 (Software as a Service) 一、 


。 用 户 通过 标准 的 Web 浏 览 器 来 使 用 Internet 上 的 软件 。 
。 客 户 端 软件 通过 标准 的 Web 服 务 来 使 用 Internet 上 的 服务 。 
\ 。 用 户 不 必 购 买 软件 ， 只 需 按 需 租用 软件 - J 


| 平台 即 服务 (Plaform as a Service) ~ 


。 提供 应 用 服务 引擎 ， 如 互联 网 应 用 编程 接口 /运行 平台 等 - 
公 时 用 户 革 于 读 应 用 服务 4 天 可 以 构建 该 类 应 用 。 区 


/ 基础 设施 即 服 务 (Infrastructure as a Service) ~ 


。 以 服务 的 形式 提供 虚拟 硬件 资源 ， 如 虚拟 主机 /存储 /网 络 /安全 等 资源 。 
。 用 于 无 须 购买 服务 器 、 网 络 设备 、 存 储 设备 ， 只 需要 通过 互联 网 租赁 即 可 


搭建 自己 的 应 用 系统 。 


图 6-1 云 计算 服务 模式 


1) 基础 设施 即 服务 (Infrastructure as a Service,IaaS) 

基础 设施 即 服务 指 的 是 为 用 户 提供 网 络 、 计 算 和 存储 一 体 化 的 基础 架构 服务 ,通过 Iaas 
服务 ,客户 端 无 须 购买 服务 器 .软件 等 网 络 设备 , 即 可 任意 部 署 和 使 用 存储 、 网 络 和 其 他 基本 
的 计算 资源 。 在 Iaas 服务 中 ,用 户 不 能 控制 底层 的 基础 设施 ,但 是 可 以 控制 操作 系统 .存储 
装置 和 已 部 署 的 应 用 程序 。 

在 IaaS 中 ,一 台 物 理 机 器 往往 被 划分 为 多 台 虚 拟 机 器 进行 使 用 。 由 于 同一 物理 服务 器 
的 虚拟 机 之 间 可 以 相互 访问 ,而 不 需要 经 过 之 外 的 防火 墙 与 交换 机 等 设备 ,因此 虚拟 机 之 间 
的 攻击 变 得 更 加 容易 。 另 外 ,服务 商 提 供 的 是 一 个 共享 的 基础 设施 ,例如 CPU 缓存 .GPU 
等 ,这 些 基 础 设施 对 使 用 者 来 说 并 不 是 完全 隔离 的 , 当 一 个 攻击 者 得 逮 时 ,全 部 服务 器 都 向 
攻击 者 敞开 了 大 门 ,因此 对 Iaas 服务 的 分 区 和 服务 环境 监控 是 云 安 全 中 的 重要 研究 领域 ， 
如 何 保 证 同一 物理 机 上 不 同 虚拟 机 之 间 的 资源 隔离 ,包括 CPU 调度 、 内 存 虚 拟 化 .VLAN、 
1/O 设备 虚拟 化 之 间 , 是 当前 IaaS 服务 模式 下 首要 解决 的 安全 技术 问题 。 

2) 平台 即 服 务 (Platform as a Service,PaaS) 

把 服务 器 平台 或 者 开发 环境 作为 一 种 服务 提供 的 商业 模式 。PaaS 实际 上 是 指 将 软件 
研发 的 平台 作为 一 种 服务 ,具体 可 以 归 类 为 应 用 服务 器 、 业 务 能 力 接 入 、 业 务 引擎 \ 企 业 进 行 
定制 化 研发 的 中 间 件 平台 等 ,通过 PaaS 提供 的 API 开放 给 PaaS 用 户 。 

PaaS 可 以 提高 在 Web 平 台 上 利用 的 资源 数量 。 例 如 ,可 通过 远程 Web 服务 使 用 数据 
即 服务 (Data-as-a-Service: 数据 即 服务 )。 用 户 或 者 厂商 基于 PaaS 平 台 可 以 快速 开发 自己 
所 需要 的 应 用 和 产品 。 同 时 ,PaaS 平台 开发 的 应 用 能 更 好 地 搭建 基于 SOA 架构 的 企业 应 
用 ,如 云 平台 通过 提供 二 次 开发 接口 .软件 定制 接口 等 功能 以 及 开放 式 的 支撑 服务 功能 , 提 
供 完 善 的 应 用 服务 引擎 和 应 用 编程 接口 ,用户 能 通过 应 用 服务 引擎 ,无 须 专业 程序 员 ,直接 
在 线 开 发 相应 的 企业 应 用 。 
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3) 软件 即 服务 (Software as a Service,SaaS) 

软件 即 服 务 与 按 需 软件 (on-demand software), 应 用 服务 提供 商 (the application 
service provider, ASP), 托 管 软件 (hosted software) 具 有 相似 的 含义 。 它 是 一 种 通过 
Internet 提供 软件 的 模式 ,厂商 将 应 用 软件 统一 部 署 在 自己 的 服务 器 上 ,客户 可 以 根据 自己 
的 实际 需求 ,通过 互联 网 向 厂商 定购 所 需 的 应 用 软件 服务 , 按 定购 的 服务 多 少 和 时 间 长 短 向 
厂商 支付 费用 ,并 通过 标准 的 Web 浏览 器 来 使 用 云 平 台 上 的 各 类 在 线 服 务 , 用 户 不 必 购 买 
软件 ,只 须 按 需 租 用 云 平台 上 的 各 类 正版 软件 和 在 线 软件 服务 功能 , 且 无 须 对 软件 进行 维 
护 , 服 务 提供 商会 全 权 管 理 和 维护 软件 ,软件 厂商 在 向 客户 提供 互联 网 应 用 的 同时 ,也 提供 
软件 的 离线 操作 和 本 地 数据 存储 ,让 用 户 随 时 随地 都 可 以 使 用 其 定购 的 软件 和 服务 。 

对 于 许多 小 型 企业 来 说 ,SaaS 是 采用 先进 技术 的 最 好 途径 , 它 消除 了 企业 购买 .构建 和 
维护 基础 设施 和 应 用 程序 的 需要 ,减少 了 企业 运 维和 购买 软件 的 成 本 。 


4. 云 计算 部 署 模式 
在 部 署 模 式 上 , 云 计算 有 三 种 模式 ,如 图 6-2 所 示 。 


外 部 客户 内 部 人 员 


外 部 客户 和 内 部 人 员 


图 6-2 云 计 算 的 三 种 部 署 模 式 


1) 公共 云 

公共 云 是 指 为 外 部 客户 提供 服务 的 云 , 它 所 有 的 服务 是 供 别人 使 用 ,而 不 是 自己 用 。 目 
前 ,典型 的 公共 云 有 微软 的 Windows Azure Platform 亚马逊 的 AWS、Salesforce. com 以 及 
国内 的 阿里 巴巴 、 用 友 伟 库 等 。 对 于 使 用 者 而 言 ,公共 云 的 最 大 优点 是 ,其 所 应 用 的 程序 、 服 
务 及 相关 数据 都 存放 在 公共 云 的 提供 者 处 ,自己 无 须 做 相应 的 投资 和 建设 。 目 前 最 大 的 问 
题 是 ,由 于 数据 不 存储 在 自己 的 数据 中 心 ,其 安全 性 存在 一 定 风 险 。 同 时 ,公共 云 的 可 用 性 
不 受 使 用 者 控制 ,这 方面 也 存在 一 定 的 不 确定 性 。 

2) 私有 云 

私有 云 是 指 企业 自己 使 用 的 云 , 它 所 有 的 服务 不 是 供 别 人 使 用 ,而 是 供 企业 自己 的 内 部 
人 员 或 分 支 机 构 使 用 。 私 有 云 的 部 署 比较 适合 于 有 众多 分 支 机 构 的 大 型 企业 或 政府 部 门 。 
随 着 这 些 大 型 企业 数据 中 心 的 集中 化 ,私有 云 将 会 成 为 他 们 部 署 IT 系统 的 主流 模式 。 相 
对 于 公共 云 , 私 有 云 部 署 在 企业 自身 内 部 ,因此 其 数据 安全 性 、 系 统 可 用 性 都 可 由 自己 控制 。 
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但 其 缺点 是 投资 较 大 ,尤其 是 一 次 性 的 建设 投资 较 大 。 

3) 混合 云 

混合 云 是 指 供 自 己 和 客户 共同 使 用 的 云 , 它 所 提供 的 服务 既 可 以 供 别 人 使 用 ,也 可 以 供 
自己 使 用 。 相 比较 而 言 ,混合 云 的 部 署 方式 对 提供 者 的 要 求 较 高 。 


5. 云 计 算 的 发 展 


云 计算 从 1959 年 概念 的 提出 到 今天 的 初步 成 熟 ,已 经 经 历 了 几 十 年 的 发 展 历程 。 

1959 年 ,Christopher Strachey 发 表 虚 拟 化 论文 ,虚拟 化 是 今天 云 计 算 基础 架构 的 
基石 。 

1961 年 ,John McCarthy 提出 计算 力 和 通过 公用 事业 销售 计算 机 应 用 的 思想 。 

1962 年 ,J.C. R. Licklier 提出 “星际 计算 机 网 络 ” 设 想 。 

1984 年 ,Sun 公司 的 联合 创始 人 John Gage 提出 “网 络 就 是 计算 机 ”的 名 言 ,用 于 描述 分 
布 式 计算 技术 带 来 的 新 世界 ,今天 的 云 计 算 正 在 将 这 一 理念 变 成 现实 。 

1997 年 , 南 加 州 大 学 教授 Ramnath K. Chellappa 提出 云 计算 的 第 一 个 学 术 定 义 ,认为 
计算 的 边界 可 以 不 是 技术 局 限 , 而 是 经 济 合理 性 。 

1998 年 ,VMware( 威 豁 公司 ) 成 立 并 首次 引入 X86 的 虚拟 技术 。 

1999 年 ,MarcAnreessen 创建 LouClou, 是 第 一 个 商业 化 的 IaaS 平台 。 

2004 年 ,Google 发 布 MapReuce 论文 。Hadoop 就 是 Google 集群 系统 的 一 个 开源 项 目 
总 称 ,主要 由 HFS、MapReuce 和 Hbase 组 成 ,其 中 HFS 是 GoogleFileSystem(GFS) 的 开源 
实现 ; MapReuce 是 GoogleMapReuce 的 开源 实现 ; HBase 是 GoogleBigTable 的 开源 实现 。 

2005 年 ,Amazon 宣布 Amazon Web Services 云 计 算 平台 ,并 在 2006 年 相继 推出 在 线 
存储 服务 S3 和 弹性 计算 云 EC2 等 去 服务 。 

2007 年 ,Google 与 IBM 在 大 学 开设 云 计算 课程 。 戴 尔 成 立 数据 中 心 解决 方案 部 门 , 先 
后 为 全 球 5 大 云 计算 平台 中 的 三 个 (包括 Windows Azure、Facebook 和 Ask. com) 提 供 云 基 
础 架构 。 亚 马 逊 公司 推出 了 简单 队列 服务 (Simple Queue Service, SQS) ,这 项 服务 使 托管 
主机 可 以 存储 计算 机 之 间 发 送 的 消息 。IBM 首次 发 布 云 计算 商业 解决 方案 ,推出 “ 蓝 云 ” 
(Blue Cloud) 计 划 。 

2008 年 ,Salesforce. com 推出 了 随 需 应 变 平台 evForce， Force. com 平台 是 世界 上 第 一 
个 平台 即 服务 的 应 用 。 

2009 年 ,思科 发 布 统一 计算 系统 (UCS) \ 云 计算 服务 平台 ,VMWare 推出 业界 首 款 云 操 
作 系 统 Vmware vSphere 4， Google 推出 Chrome OS 操作 系统 。 

2010 年 ，Microsoft 正式 发 布 Microsoft Azure 云 平台 服务 。 英 特 尔 在 IDF 上 提出 互联 
计算 ,用 X86 架构 统一 幅 入 式 、 物 联网 和 云 计 算 领 域 。 戴尔 推出 源 于 DCS 部 门 设计 的 
PowerEdgeC 系列 云 计算 服务 器 及 相关 服务 。 

在 我 国 , 云 计算 的 发 展 也 颇 为 迅猛 。 

2008 年 3 月 17 日 ,Google 全 球 CEO 埃 里 克 。 施 密 特 (Eric Schmidt) 在 北京 访问 期 间 ， 
宣布 在 中 国 大 陆 推出 “ 云 计算 (Cloud Computing)” 计 划 。 而 2008 年 初 ,IBM 与 无 锡 市 政府 
合作 建立 了 无 锡 软件 园 云 计算 中 心 ,开始 了 云 计算 在 中 国 的 商业 应 用 。2008 年 7 月 份 瑞星 
推出 了 “ 云 安 全 ”计划 。 
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2009 年 ,VMware 在 中 国 召 开 的 vForum 用 户 大 会 ,第 一 次 将 开放 云 计 算 的 概念 带 入 
中 国 。 

2010 年 10 月 18 日 发 布 (国务 院 关 于 加 快 培育 和 发 展 战略 性 新 兴 产 业 的 决定 ) 中 ,将 云 
计算 定位 于 “十 二 五 ”战略 性 新 兴 产 业 之 一 。 同 一 天 ,工信部 发改委 联合 印发 (关于 做 好 云 
计算 服务 创新 发 展 试点 示范 工作 的 通知 》, 确 定 在 北京 、 上 海 、 深 圳 .杭州 ,无锡 等 五 个 城市 先 
行 开展 云 计算 服务 创新 发 展 试点 示范 工作 ,让 国内 的 云 计算 热潮 率先 从 政府 云 开始 熊 熊 

云 计算 在 中 国有 着 巨大 的 市 场 潜力 ,不 仅仅 在 于 中 国 幅 员 辽 阔 , 人 口 众多 。 更 重要 的 是 
中 国 从 2009 年 已 经 成 为 全 球 最 大 的 PC 消费 国 ,也 会 成 为 最 大 的 PC 服务 器 拥有 国 。 庞 大 
的 IT 投资 也 成 为 国家 节能 减 排 中 值得 重点 关注 的 一 环 , 云 计算 将 成 为 绿色 IT、 节 能 减 排 最 
为 重要 的 手段 ,提高 了 IT 灵活 性 和 可 持续 发 展 , 也 将 积极 推动 和 谐 社 会 的 构建 ,这 也 是 为 
什么 政府 在 “十 二 五 ”规划 中 将 云 计算 定位 为 战略 性 新 兴 产 业 的 原因 之 一 。 

云 计算 作为 一 种 应 用 模式 , 它 的 出 现 和 应 用 范围 日 益 扩 大 , 必 将 对 产业 链 的 上 下 游 产 生 
重要 影响 , 它 在 不 断 地 适应 着 企业 的 需求 。 未 来 云 计算 的 发 展 ,将 朝 着 平台 化 、 公 共 云 和 混 
合 云 .大 数据 等 方向 发 展 ,未 来 的 云 计算 将 更 强调 安全 性 和 性 能 ,云游 戏 的 领域 也 将 会 是 云 
的 另 一 个 主要 的 发 展 趋势 。 


6. 云 计算 平台 简介 


目前 ,比较 优秀 的 云 计算 平台 主要 包括 Google 云 计算 平台 .IJBM" 蓝 云云 计算 平台 、 
Amazon 的 弹性 计算 云 .微软 的 云 计算 架构 等 。 

1) Google 云 计算 平台 

Google 云 计 算 平台 是 全 球 最 大 的 搜索 引擎 ,包括 Google Maps、Google Earth .Gmail、 
YouTube 等 一 系列 产品 ,这 个 平台 最 初 是 为 Google 最 重要 的 搜索 应 用 提供 服务 ,现在 已 经 
扩展 到 其 他 应 用 领域 ,其 特点 是 数据 量 庞 大 、 面 向 全 球 用 户 提供 实时 服务 。 

Google 的 硬件 条 件 优势 ,大 型 的 数据 中 心 和 搜索 引擎 的 支柱 应 用 ,促进 Google 云 计算 
迅速 发 展 。Google 的 云 计算 基础 架构 模式 包括 4 个 相互 独立 又 紧密 结合 在 一 起 的 系统 : 
Google File System 分 布 式 文件 系统 ,针对 Google 应 用 程序 的 特点 提出 的 MapReduce 编程 
模式 ,分布 式 的 锁 机 制 Chubby 以 及 Google 开发 的 模型 简化 的 大 规模 分 布 式 数据 库 
BigTable。 

Google File System 文件 系统 (GFS): 除了 性 能 ,可 伸缩 性 、 可 靠 性 以 及 可 用 性 以 外 ， 
GFS 设计 还 受到 Google 应 用 负载 和 技术 环境 的 影响 。 体 现在 4 个 方面 : 

(1) 充分 考虑 到 大 量 节点 的 失效 问题 ,需要 通过 软件 将 容错 以 及 自动 恢复 功能 集成 在 
系统 中 ; 

(2) 构造 特殊 的 文件 系统 参数 ,文件 通常 大 小 以 G 字 节 计 , 并 包含 大 量 小 文件 ; 

(3) 充分 考虑 应 用 的 特性 ,增加 文件 追加 操作 ,优化 顺序 读 写 速度 ; 

(4) 文件 系统 的 某 些 具体 操作 不 再 透明 ,需要 应 用 程序 的 协助 完成 。 

如 图 6-3 所 示 ,给 出 了 Google File System 的 系统 架构 。 

一 个 GFS 集群 包含 一 个 主 服 务 器 和 多 个 块 服务 器 ,被 多 个 客户 端 访问 。 文 件 被 分 割 成 
固定 尺寸 的 块 。 在 每 个 块 创建 的 时 候 , 服 务 器 分 配给 它 一 个 不 变 的 、 全 球 唯一 的 64 位 块 句 
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文件 名 ， 块 索引 
应 用 接口 GPS 所 有 者 
GFS 客 户 端 一 一 一 一 一 一 一 一 文件 命名 空间 
块 句柄， 块 位 置 
| | | | 
块 句柄 ， 字 节 范 围 

ors 夫 有 a 多 加 | GFS 块 服务 器 
和 块 数据 Linux 文 件 系统 | 。 | Linux 文 件 系统 
说 明 


数据 信息 
控制 信息 二 也- 十 二 


图 6-3 Google File System 


柄 对 它 进行 标识 。 块 服务 器 把 块 作为 linux 文件 保存 在 本 地 硬盘 上 ,并 根据 指定 的 块 句柄 
和 字 节 范围 来 读 写 块 数据 。 为 了 保证 可 靠 性 ,每 个 块 都 会 复制 到 多 个 块 服务 器 上 ,默认 保存 
三 个 备份 。 主 服务 器 管理 文件 系统 所 有 的 元 数据 ,包括 名 字 空 间 访问 控制 信息 和 文件 到 块 
的 映射 信息 ,以 及 块 当 前 所 在 的 位 置 。GFS 客户 端 代码 被 嵌入 到 每 个 程序 里 , 它 实 现 了 
Google 文件 系统 API, 帮 助 应 用 程序 与 主 服务 器 和 块 服务 器 通信 ,对 数据 进行 读 写 。 客 户 
端 跟 主 服 务 器 交互 进行 元 数据 操作 ,但 是 所 有 的 数据 操作 的 通信 都 是 直接 和 块 服务 器 进行 
的 。 客 户 端 提供 的 访问 接口 类 似 于 POSIX 接口 ,但 有 一 定 的 修改 ,并 不 完全 兼容 POSIX 标 
准 。 通 过 服务 器 端 和 客户 端的 联合 设计 ,Google File System 能 够 针对 它 本 身 的 应 用 获得 
最 大 的 性 能 以 及 可 用 性 效果 。 

Map Reduce 分 布 式 编程 环境 : Google 构造 Map Reduce 编程 规范 来 简化 分 布 式 系统 
的 编程 ,应 用 程序 编写 人 员 只 需 将 精力 放 在 应 用 程序 本 身 。 而 关于 集群 的 处 理 问题 ,包括 可 
靠 性 和 可 扩展 性 , 则 交 由 平台 来 处 理 。Map Reduce 通过 映射 (Map) 和 化 简 (Reduce) 这 样 两 
个 简单 的 概念 来 构成 运算 基本 单元 ,用 户 只 需 提供 自己 的 Map 函数 以 及 Reduce 函数 即 可 
并 行 处 理 海量 数据 。 

分 布 式 的 大 规模 数据 库 管理 系统 Big Table: 由 于 一 部 分 Google 应 用 程序 需要 处 理 大 
量 的 格式 化 以 及 半 格 式 化 数据 ,Google 构建 了 弱 一 致 性 要 求 的 大 规模 数据 库 系统 Big 
Table。Big Table 的 应 用 包括 Search History、Maps、Orkut、RSS 阅读 器 等 。 

Big Table 是 客户 端 和 服务 器 端的 联合 设计 ,使 得 性 能 能 够 最 大 程度 地 符合 应 用 的 需 
求 。Big Table 系统 依赖 于 集群 系统 的 底层 结构 。 一 个 是 分 布 式 的 集群 任务 调度 器 ,一 个 是 
前 述 的 Google 文件 系统 ,还 有 一 个 分 布 式 的 锁 服务 Chubby。 

Chubby 是 一 个 非常 鲁 棒 的 粗 粒度 锁 , Big Table 使 用 Chubby 来 保存 根 数据 表格 的 指 
针 , 即 用 户 可 以 首先 从 Chubby 锁 服 务 器 中 获得 根 表 的 位 置 ,进而 对 数据 进行 访问 。Big 
Table 使 用 一 台 服 务 器 作为 主 服务 器 ,用 来 保存 和 操作 元 数据 。 主 服务 器 除了 管理 元 数据 
之 外 ,还 负责 对 Table 服务 器 ( 即 一 般 意义 上 的 数据 服务 器 ) 进 行 远程 管理 与 负载 调配 。 客 
户 端 通过 编程 接口 与 主 服 务 器 进行 元 数据 通信 ,与 Table 服务 器 进行 数据 通信 。 

2) IBM“ 蓝 云 ” 云 计算 平台 

“ 蓝 云 "解决 方案 是 由 IBM 云 计算 中 心 开 发 的 企业 级 云 计算 解决 方案 。 该 解决 方案 可 
以 对 企业 现 有 的 基础 架构 进行 整合 ,通过 虚拟 化 技术 和 自动 化 技术 ,构建 企业 自己 拥有 的 云 
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计算 中 心 ,实现 企业 硬件 资源 和 软件 资源 的 统一 管理 .统一 分 配 、 统 一 部 署 、 统 一 监控 和 统 
备份 ,打破 应 用 对 资源 的 独占 ,从 而 帮助 企业 实现 云 计算 理念 。 

IBM 的 “ 蓝 云 " 计 算 平台 是 一 套 完整 的 软 、 硬 件 平台 ,将 Internet 上 使 用 的 技术 扩展 到 
企业 平台 上 ,使 得 数据 中 心 使 用 类 似 于 互联 网 的 计算 环境 .“ 蓝 云 " 大 量 使 用 了 IBM 先进 的 
大 规模 计算 技术 ,结合 了 IBM 自身 的 软 、 硬 件 系统 以 及 服务 技术 ,支持 开放 标准 与 开放 源 代 
码 软件 。 

“ 蓝 云 ? 基 于 IBM Almaden 研究 中 心 的 云 基础 架构 ,采用 了 Xen 和 PowerVM 虚拟 化 软 
件 ,Linux 操作 系统 映像 以 及 Hadoop 软件 (Google File System 以 及 Map Reduce 的 开源 实 
现 )。IBM 已 经 正式 推出 了 基于 x86 芯片 服务 器 系统 的 “ 蓝 云 "产品 。 

“ 蓝 云 ?计算 平台 由 一 个 数据 中 心 、.IBM Tivoli 部 署 管理 软件 (Tivoli provisioning 
manager) IJBM Tivoli 监控 软件 (IBM Tivoli monitoring)、IBM WebSphere 应 用 服务 器 、 
IBM DB2 数据 库 以 及 一 些 开源 信息 处 理 软件 和 开源 虚拟 化 软件 共同 组 成 。“ 蓝 云 ” 的 硬件 

台 环 境 与 一 般 的 x86 服务 器 集群 类 似 , 使 用 刀片 的 方式 增加 了 计算 密度 。“ 蓝 云 " 软 件 平 
台 的 特点 主要 体现 在 虚拟 机 以 及 对 于 大 规模 数据 处 理 软 件 Apache Hadoop 的 使 用 上 。 

“ 蓝 云 ?平台 的 一 个 重要 特点 是 虚拟 化 技术 的 使 用 。 虚 拟 化 的 方式 在 * 蓝 云 " 中 有 两 个 级 
别 ,一 个 是 在 硬件 级 别 上 实现 虚拟 化 , 另 一 个 是 通过 开源 软件 实现 虚拟 化 。 硬 件 级 别 的 虚拟 
化 可 以 使 用 IBM p 系列 的 服务 器 ,获得 硬件 的 逻辑 分 区 LPAR(logic partition)。 修 辑 分 区 
的 CPU 资源 能 够 通过 IBM Enterprise Workload Manager 来 管理 。 通 过 这 样 的 方式 加 上 
在 实际 使 用 过 程 中 的 资源 分 配 策略 ,能 够 使 相应 的 资源 合理 地 分 配 到 各 个 逻辑 分 区 。Pp 系 
列 系统 的 多 辑 分 区 最 小 粒度 是 1/10 颗 CPU。Xen 则 是 软件 级 别 上 的 虚拟 化 ,能 够 在 Linux 
基础 上 运行 男 外 一 个 操作 系统 。 

3) Amazon 的 弹性 计算 云 

亚马逊 是 互联 网 上 最 大 的 在 线 零售 商 ,但 是 同时 也 为 独立 开发 人 员 以 及 开发 商 提供 云 
计算 服务 平台 。 亚 马 逊 将 他 们 的 云 计 算 平 台 称 为 弹性 计算 云 (Elastic Compute Cloud， 
EC2) , 它 是 最 早 提供 远程 云 计 算 平 台 服 务 的 公司 。 

与 Google 提供 的 云 计算 服务 不 同 ,Google 仅 为 自己 在 互联 网 上 的 应 用 提供 云 计 算 平 
台 ,独立 开发 商 或 者 开发 人 员 无 法 在 这 个 平台 上 工作 ,因此 只 能 转 而 通过 开源 的 Hadoop 软 
件 支 持 来 开发 云 计算 应 用 。 亚 马 逊 的 弹性 计算 云 服 务 也 和 IBM 的 云 计 算 服 务 平 台 不 一 样 ， 
亚马逊 不 销售 物理 的 云 计算 服务 平台 ,没有 类 似 于 “ 蓝 云 ” 一 样 的 计算 平台 。 亚 马 逊 将 自己 
的 弹性 计算 云 建立 在 公司 内 部 的 大 规模 集群 计算 的 平台 之 上 ,而 用 户 可 以 通过 弹性 计算 云 
的 网 络 界面 去 操作 在 云 计算 平台 上 和 运行 的 各 个 实例 (Instance) ,付费 方式 则 由 用 户 的 使 用 
状况 决定 , 即 用 户 仅 需要 为 自己 所 使 用 的 计算 平台 实例 付费 ,运行 结束 后 计 费 也 随 之 结束 。 

弹性 计算 云 从 严格 上 来 看 ,并 不 是 亚马逊 公司 推出 的 第 一 项 这 种 服务 , 它 由 名 为 亚马逊 
网 络 服务 的 现 有 平台 发 展 而 来 。 早 在 2006 年 3 月 ,亚马逊 就 已 经 发 布 了 简单 存储 服务 
(Simple Storage Service,S3) ,这 种 存储 服务 按照 每 个 月 类 似 租金 的 形式 进行 服务 付费 , 同 
时 用 户 还 需要 为 相应 的 网 络 流量 进行 付费 。 亚马逊 网 络 服务 平台 使 用 REST 
(Representational State Transfer) 和 简单 对 象 访问 协议 (SOAP) 等 标准 接口 ,用 户 可 以 通过 
这 些 接口 访问 到 相应 的 存储 服务 。 

2007 年 7 月 ,亚马逊 公司 推出 了 简单 队列 服务 (Simple Queue Service,SQS) ,这 项 服务 
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使 托管 主机 可 以 存储 计算 机 之 间 发 送 的 消息 。 通 过 这 一 项 服务 ,应 用 程序 编写 人 员 可 以 在 
分 布 式 程序 之 间 进 行 数据 传递 ,而 无 须 考虑 消息 丢失 的 问题 。 通 过 这 种 服务 方式 ,即使 消息 
的 接收 方 还 没有 模块 启动 也 没有 关系 。 服 务 内 部 会 缓存 相应 的 消息 ,而 一 旦 有 消息 接收 组 
件 被 启动 运行 , 则 队列 服务 将 消息 提交 给 相应 的 运行 模块 进行 处 理 。 同 样 的 ,用 户 必须 为 这 
种 消息 传递 服务 进行 付费 使 用 , 计 费 的 规则 与 存储 计 费 规则 类 似 ,依据 消息 的 个 数 以 及 消息 
传递 的 大 小 进行 收费 。 

4) 微软 的 云 计算 架构 

微软 最 新 发 布 的 服务 器 和 云 平 台 网 站 已 经 可 以 提供 包括 管理 云 应 用 、 部 署 服务 器 等 多 
种 功能 在 内 的 一 站 式 云 服务 。 

除了 可 为 消费 者 构建 私有 云 外 ,该 网 站 还 提供 虚拟 服务 器 .虚拟 桌面 、 管 理 云 应 用 、 部 署 
服务 器 ,管理 员 身 份 认证 .数据 分 析 等 服务 。 

此 外 ,用 户 还 可 以 从 该 网 站 浏览 新 闻 查看 微软 最 新 产品 .公告 等 ,实现 量 身 定制 的 个 性 
上 网 方案 。 

基于 如 图 6-4 所 示 的 架构 ,微软 为 企业 提供 两 种 云 计算 部 署 类 型 , 即 公 共 云 和 私有 云 。 

公共 云 : 由 微软 自己 运营 ,为 客户 提供 部 署 和 应 用 服务 。 在 公共 云 中 , Windows Azure 
Platform 是 一 个 高 度 可 扩展 的 服务 平台 ,提供 基于 微软 数据 中 心 随 用 随 付费 的 灵活 的 服务 
模式 。 


客 油 [PC& 浏览 才 | [移动 经 山 设 备 电视 
和 互联 网 > 
软件 即 服务 | _ OA CRM 门户 “| | 公共 医疗 | | 电子 政务 
Sng 通信 ] [地 作 |] [内 容 管理 ] [太空 货运 ] [其 他 管 
理 
和 
可 身份 认证 管理 务 总 线 工作 流 业 
pe ， 
访问 控制 | 报表、 数据 控 气 其 他 支 
撑 
基础 服务 | [ 数据 存储 ] | 计算 服务 ] | 负载 管理 | | ”备份 
基础 设施 
即 服务 虚拟 化 
laaS 基础 设施 
主机 存储 “| | 网 络 |[ 其 他 硬件 
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私有 云 : 部 署 在 客户 的 数据 中 心 内 部 ,基于 客户 个 性 化 的 性 能 和 成 本 要 求 、 面 向 服务 的 
内 部 应 用 环境 。 这 个 云 平台 基于 成 熟 的 Windows Server 和 System Center 等 系列 产品 ,并 
且 能 够 与 现 有 应 用 程序 兼容 。 

有 鉴于 云 计算 如 火 如 茶 的 快速 发 展 ,微软 几乎 针对 全 线 产品 都 提出 了 明确 的 云 战略 ,其 
云 计算 解决 方案 包括 公共 云 和 私有 云 , 既 可 以 帮助 企业 搭建 私有 云 , 又 可 以 帮助 企业 构建 公 
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共 云 ,或 让 企业 选择 基于 微软 云 平台 运营 企业 的 公共 云 服务 。 微 软 为 自己 的 客户 和 合作 伙 
伴 提供 三 种 不 同 的 云 计算 运 营 模 式 。 

公有 云 : 微软 自己 构建 及 运营 公共 云 的 应 用 和 服务 ,同时 向 个 人 消费 者 和 企业 客户 提 
供 云 服务 。 

合作 伙伴 运营 : 独立 软件 开发 商 或 系统 集成 商 等 各 种 合作 伙伴 可 基于 微软 Windows 
Azure Platform 开发 ERP、CRM 等 各 种 云 计 算 应 用 ,并 在 这 一 平台 上 为 最 终 使 用 者 提供 
服务 。 

客户 自 建 私 有 云 : 客户 可 以 选择 微软 的 云 计算 解决 方案 构建 自己 的 云 计 算 平 台 。 微 软 
可 以 为 用 户 提供 包括 产品 .技术 ,平台 和 和 运 维 管理 在 内 的 全 面 支持 。 

微软 云 战略 包括 三 大 部 分 ,为 客户 和 合作 伙伴 提供 三 种 不 同 的 云 计算 运 营 模式 。 

(1) 微软 运营 : 微软 自己 构建 及 运营 公共 云 的 应 用 和 服务 ,同时 向 个 人 消费 者 和 企业 
客户 提供 云 服 务 。 例 如 ,微软 向 最 终 使 用 者 提供 的 Online Services 和 Windows Live 等 
服务 。 

(2) 伙伴 运营 : ISV/SI 等 各 种 合作 伙伴 可 基于 Windows Azure Platform 开发 ERP、 
CRM 等 各 种 云 计 算 应 用 ,并 在 Windows Azure Platform 上 为 最 终 使 用 者 提供 服务 。 另 外 
一 个 选择 是 ,微软 运营 在 自己 的 云 计算 平台 中 的 Business Productivity Online Suite 
(BPOS) 产 品 也 可 交 由 合作 伙伴 进行 托管 运营 。BPOS 主要 包括 Exchange Online， 
SharePoint Online, Office Communications Online 和 LiveMeeting Online 等 服务 。 

(3) 客户 自 建 : 客户 可 以 选择 微软 的 云 计 算 解 决 方案 构建 自己 的 云 计算 平台 。 微 软 可 
以 为 用 户 提 供 包 括 产品 .技术 .平台 和 运营 管理 在 内 的 全 面 支持 。 在 云 计算 时 代 ,一 个 企业 
是 否 可 以 不 用 部 署 任何 的 IT 系统 ,一 切 都 从 云 计算 平台 获取 ,或 者 反 过 来 ,企业 还 是 像 以 
前 一 样 ,全 部 的 IT 系统 都 部 署 在 企业 内 部 ,不 从 云 中 获取 任何 的 服务 。 

很 多 企业 认为 有 些 IT 服务 适合 从 云 中 获取 ,如 CRM、 网 络 会 议 . 电 子 邮件 等 ; 但 有 些 
系统 不 适合 部 署 在 云 中 ,如 自己 的 核心 业务 系统 、 财 务 系统 等 。 因 此 ,微软 认为 理想 的 模式 
将 是 “软件 十 服务 ”, 即 企业 既 会 从 云 中 获取 必需 的 服务 ,也 会 自己 部 署 相关 的 IT 系统 。 如 
图 6-5 所 示 是 微软 的 “软件 十 服务 ”战略 。 

“软件 十 服务 ”可 以 简单 地 描述 为 两 种 模式 : 

(1) 软件 本 身 架 构 模 式 是 “软件 加 服务 ”。 例 如 ,杀毒 软件 本 身 部 署 在 企业 内 部 ,但 是 杀 
毒 软件 的 病毒 库 更 新 服务 是 通过 互联 网 进行 的 , 即 从 云 中 获取 。 

(2) 企业 的 一 些 IT 系统 由 自己 构建 , 另 一 部 分 向 第 三 方 租赁 ,从 云 中 获取 服务 。 例 如 ， 
企业 可 以 直接 购买 软 硬 件 产品 ,在 企业 内 部 自己 部 署 ERP 系统 ,而 同时 通过 第 三 方 云 计算 
平台 获取 CRM、 电 子 邮件 等 服务 ,而 不 是 自己 建设 相应 的 CRM 和 电子 邮件 系统 。 

“软件 十 服务 ”的 好 处 在 于 , 既 充分 继承 了 传统 软件 部 署 方式 的 优越 性 ,又 大 量 利用 了 云 
计算 的 新 特性 。 

在 云 计算 时 代 , 有 三 个 平台 非常 重要 , 即 开发 平台 、 部 署 平台 和 和 运营 平台 。Windows 
Azure Platform 是 微软 的 云 计算 平 台 ,其 在 微软 的 整体 云 计算 解决 方案 中 发 挥 关 键 作 用 。 
它 既 是 运营 平台 ,又 是 开发 部署 平台 ; 上 面 既 可 运行 微软 的 自 有 应 用 ,也 可 以 开发 部 署 用 
户 或 ISV 的 个 性 化 服务 ; 平台 既 可 以 作为 SaaS 等 云 服务 的 应 用 模式 的 基础 ,又 可 以 与 微软 
线 下 的 系列 软件 产品 相互 整合 和 支撑 。 事 实 上 ,微软 基于 Windows Azure Platform, 在 云 
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计算 服务 和 线 下 客户 自 有 软件 应 用 方面 都 拥有 了 更 多 样 化 的 应 用 交付 模式 、 更 丰富 的 应 用 
解决 方案 、 更 灵活 的 产品 服务 部 署 方 式 和 商业 运营 模式 。 

企业 可 以 根据 自身 的 具体 需求 和 特征 ,微软 为 用 户 提供 自由 选择 的 机 会 。 

为 用 户 提供 自由 选择 的 机 会 是 微软 云 计算 战略 的 第 三 大 典型 特点 。 这 种 自由 选择 表现 
在 以 下 三 个 方面 : 

(1) 用 户 可 以 自由 选择 传统 软件 或 云 服 务 两 种 方式 。 

自己 部 署 IT 软件 ,采用 云 服务 .或 者 两 者 都 用 ,无 论 是 用 户 选 择 哪 种 方式 ,微软 的 云 计 
算 都 能 支持 。 

(2) 用 户 可 以 选择 微软 不 同 的 云 服务 。 

无 论 用 户 需 要 的 是 SaaS (Software-as-a-Service)、PaaS (Platform-as-a-Service) 还 是 
JaaS(Infrastructure-as-a-Service) ,微软 都 有 丰富 的 服务 供 其 选择 。 微 软 拥 有 全 面 的 SaaS 
服务 ,包括 针对 消费 者 的 Live 服务 和 针对 企业 的 Online 服务 ; 也 提供 基于 Windows Azure 
Platform 的 PaaS 服务 ; 还 提供 数据 存储 、 计 算 等 IaaS 服务 和 数据 中 心 优化 服务 。 用 户 可 
以 基于 任何 一 种 服务 模型 选择 使 用 云 计算 的 相关 技术 .产品 和 服务 。 

(3) 用 户 和 合作 伙伴 可 以 选择 不 同 的 云 计算 运营 模式 。 

微软 提供 多 种 云 计 算 运 营 模 式 。 用 户 和 合作 伙伴 可 直接 应 用 微软 运营 的 云 计算 服务 ; 
用 户 也 可 以 采用 微软 的 云 计算 解决 方案 和 技术 工具 自 建 云 计算 应 用 ; 合作 伙伴 还 可 以 选择 
运营 微软 的 云 计算 服 务 或 自己 在 微软 云 平台 上 开发 云 计算 应 用 。 


6.1.2 云 计算 核心 技术 


云 计 算 系 统 运用 了 许多 技术 ,其 中 以 编程 模型 数据 管理 技术 ,数据 存储 技术 、 虚 拟 化 技 
术 、 云 计算 平台 管理 技术 最 为 关键 。 


1. 编程 模型 


Map Reduce 是 一 种 编程 模型 ,用 于 大 规模 数据 集 ( 大 于 1TB) 的 并 行 运算 。 映 射 (Map) 
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和 归 约 (Reduce) 的 主要 思想 ,都 是 从 函数 式 编程 语言 里 借 来 的 ,还 有 从 矢量 编程 语言 里 借 
来 的 特性 。 它 极 大 地 方便 了 编程 人 员 在 不 会 分 布 式 并 行 编程 的 情况 下 ,将 自己 的 程序 运行 
在 分 布 式 系 统 上 。 当 前 的 软件 实现 是 指定 一 个 映射 (Map) 函数 ,用 来 把 一 组 键 值 对 映射 成 
一 组 新 的 键 值 对 ,指定 并 发 的 归 约 (Reduce) 函数 ,用 来 保证 所 有 映射 的 键 值 对 中 的 每 一 个 
共享 相同 的 键 组 。 

Map Reduce 是 Google 开发 的 java、Python、C++ 编 程 模型 , 它 是 一 种 简化 的 分 布 式 编 
程 模 型 和 高 效 的 任务 调度 模型 ,用 于 大 规模 数据 集 ( 大 于 1TB) 的 并 行 运算 。 严 格 的 编程 模 
型 使 云 计 算 环 境 下 的 编程 十 分 简单 。Map Reduce 模式 的 思想 是 将 要 执行 的 问题 分 解 成 映 
射 (Map) 和 归纳 (Reduce) 的 方式 , 先 通过 Map 程序 将 数据 切割 成 不 相关 的 区 块 , 分 配 ( 调 
度 ) 给 大 量 计算 机 处 理 , 达 到 分 布 式 运算 的 效果 ,再 通过 Reduce 程序 将 结果 汇 整 输出 。 

Map Reduce 编程 模型 结合 用 户 实现 的 Map 和 Reduce 函数 ,可 完成 大 规模 的 并 行 化 计 
算 。Map Reduce 编程 通过 用 户 自 定 义 的 Map 函数 处 理 一 个 输入 的 基于 key/value 对 的 集 
合 , 输 出 中 间 基 于 key/value 对 的 集合 ,Map Reduce 库 把 中 间 所 有 具有 相同 key 值 的 value 
值 集合 在 一 起 后 传递 给 Reduce 函数 ,用 户 自 定义 的 Reduce 函数 合并 所 有 具有 相同 key 值 
的 value 值 ,形成 一 个 较 小 value 值 的 集合 。 典 型 的 Map Reduce 程序 的 执行 步骤 如 下 
所 示 : 

(1) 有 多 个 Map 任务 ,每 个 任务 的 输入 为 DFS 中 的 一 个 或 者 多 个 文件 块 。Map 将 文 
件 块 转换 为 一 个 Key-Value 对 序列 ,而 此 处 的 逻辑 就 是 Mapper 的 业务 算法 。 

(2) 主 控制 器 (master controller) ,从 每 个 Map 任务 中 收集 一 系列 键 值 对 ,并 将 它们 按 
照 键 大 小 排序 ,而 这 些 键 值 再 次 被 分 割 , 然 后 分 配给 所 有 的 Reduce 任务 中 ,相同 键 值 的 对 
集合 会 被 分 配 到 同一 个 Reduce 任务 。 该 部 分 就 是 Map Reduce 和 核心 Shuffle 的 任务 。 在 
Mapper 端 结果 进行 : 分 区 、 排 序 、 分 割 。 在 Reduce 端 将 Map 的 结果 分 割 后 的 任务 派发 给 
Reduce, 最 核心 的 就 是 merge 过 程 。 

(3) Reduce 任务 每 次 作用 于 一 个 键 , 并 将 与 此 键 关联 的 所 有 值 以 某 种 方式 组 合 起 来 。 
具体 的 组 合 方式 取决 于 用 户 所 编写 的 Reduce 函数 代码 。 

如 图 6-6 所 示 , Hadoop 任务 被 分 解 为 几 个 节点 ,而 Map Reduce 任务 则 被 分 解 为 跟踪 
器 (tracker) 。 

如 图 6-7 所 示 ,显示 了 Map Reduce 如 何 执行 任务 , 它 将 获取 输入 并 执行 一 系列 分 组 、 排 
序 和 合并 操作 ,然后 呈现 经 过 排序 和 散 列 的 输出 。 

图 6-7 演示 了 一 个 更 复杂 的 Map Reduce 任务 及 其 组 成 部 分 。 用 户 提 交 一 个 任务 以 后 ， 
该 任务 由 Job Tracker 协调 , 先 执行 Map 阶段 ,然后 执行 Reduce 阶段 。Map 阶段 和 Reduce 
阶段 动作 都 受到 Task Tracker 监控 ,并 运行 在 独立 于 Task Tracker 的 Java 虚拟 机 中 。 

输入 和 输出 都 是 HDFS 上 的 目录 。 输 入 由 Input Format 接口 描述 , 它 的 实现 如 ASCII 
文件 ,JDBC 数据 库 等 ,分 别处 理 对 应 的 数据 源 ,并 提供 了 数据 的 一 些 特征 。 通 过 Input 
Format 实现 ,可 以 获取 Input Split 接口 的 实现 ,这 个 实现 用 于 对 数据 进行 划分 (图 中 的 
splitel 到 splite5 ,就 是 划分 以 后 的 结果 ) ,同时 从 Input Format 也 可 以 获取 Record Reader 
接口 的 实现 ,并 从 输入 中 生成 <k,v 之 对 。 有 了 < 一 k,v 二 ,就 可 以 开始 做 Map 操作 了 。 

Map 操作 通过 context. collect( 最 终 通过 OutputCollector。 collect) 将 结果 写 到 context 
中 。 当 Mapper 的 输出 被 收集 后 ,它们 会 被 Partitioner 类 以 指定 的 方式 区 分 地 写 出 到 输出 
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Master Slave 
Task Task 
Tracker J Tracker 
Map Reduce Task 
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图 6-6 HDFS/Map Reduce 层 的 组 成 部 分 


Output 


Data 


Reduce() 


Split Sort Merge 
[Kl,vl] by kl [Kl,[vl,v2,v3,…]] 


图 6-7 Map Reduce 执行 任务 图 


文件 里 。 我 们 可 以 为 Mapper 提供 Combiner, 在 Mapper 输出 它 的 一 k,v 二 时 , 键 值 对 不 会 
被 马上 写 到 输出 里 ,他 们 会 被 收集 在 list 里 (一 个 key 值 一 个 list) , 当 写 入 一 定数 量 的 键 值 
对 时 ,这 部 分 缓冲 会 被 Combiner 中 进行 合并 ,然后 再 输出 到 Partitioner 中 (图 中 M1 的 深 色 
阴影 部 分 对 应 着 Combiner 和 Partitioner) 。 

Map 的 动作 做 完 以 后 ,进入 Reduce 阶段 。 这 个 阶段 分 3 个 步骤 : 混 洗 (CShuffle) 排序 
(Sort) 和 归 约 (Reduce) 。 

混 洗 阶段 ,Hadoop 的 Map Reduce 框架 会 根据 Map 结果 中 的 key, 将 相关 的 结果 传输 
到 某 一 个 Reducer 上 (多 个 Mapper 产生 的 同一 个 key 的 中 间 结 果 分 布 在 不 同 的 机 器 上 ,这 
一 步 结 束 后 ,他 们 传输 都 到 了 处 理 这 个 key 的 Reducer 的 机 器 上 )。 这 个 步骤 中 的 文件 传输 
使 用 了 HTTP 协议 。 
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排序 和 混 洗 是 一 块 进行 的 ,这 个 阶段 将 来 自 不 同 Mapper 具有 相同 key 值 的 二 key， 
value 二 对 合并 到 一 起 。 

Reduce 阶段 ,上 面 通过 Shuffle 和 Sort 后 得 到 的 二 key,(list 二 "" of 二 "" values) 二 "" 这 会 
送 到 Reducer，Reduce 方 法 中 处 理 , 输 出 的 结果 通过 OutputFormat, 输 出 到 DFS 中 。 

Map Reduce 数据 流 图 解 如 图 6-8 所 示 。 


EE > 


提交 任务 到 任务 跟踪 器 
坐标 影射 和 归 约 阶段 
提交 作业 进展 信息 


好 | 输入 格式 


ns le 
DFS 


9 约 输出 
1 MM 文件 2 


图 6-8 Map Reduce 数据 流 图 解 


尽管 Hadoop 十 Map Reduce 要 比 传统 的 分 析 环 境 ( 如 IBM Cognos 和 Satori proCube 
在 线 分 析 处 理 ) 更 复杂 一 些 , 但 它 的 部 署 仍然 具有 可 扩展 能 力 和 高 成 本 效益 。 


2. 海量 数据 分 布 存储 技术 


云 计算 系统 由 大 量 服务 器 组 成 ,同时 为 大 量 用 户 服 务 , 因 此 云 计算 系统 采用 分 布 式 存储 
的 方式 存储 数据 ,用 元 余 存 储 的 方式 保证 数据 的 可 靠 性 。 云 计算 系统 中 广泛 使 用 的 数据 存 
储 系统 是 Google 的 GFS 和 Hadoop 团队 开发 的 GFS 的 开源 实现 HDFS。 

GFS 即 Google 文件 系统 (Google File System) ,是 一 个 可 扩展 的 分 布 式 文件 系统 ,用 于 
大 型 的 ,分 布 式 的 .对 大 量 数据 进行 访问 的 应 用 。GFS 的 设计 思想 不 同 于 传统 的 文件 系统 ， 
是 针对 大 规模 数据 处 理 和 Google 应 用 特性 而 设计 的 。 它 运行 于 廉价 的 普通 硬件 上 ,但 可 以 
提供 容错 功能 。 它 可 以 给 大 量 的 用 户 提供 总 体 性 能 较 高 的 服务 。 

一 个 GFS 集群 由 一 个 主 服务 器 (master) 和 大 量 的 块 服务 器 (Chunk Server) 构 成 ,并 被 
许多 客户 (Client) 访 问 。 主 服务 器 存储 文件 系统 所 有 的 元 数据 ,包括 名 字 空 间 访问 控制 信 
息 、 从 文件 到 块 的 映射 以 及 块 的 当前 位 置 。 它 也 控制 系统 范围 的 活动 ,如 块 租约 (lease) 管 
理 , 孤 立 块 的 垃圾 收集 , 块 服务 器 间 的 块 迁 移 。 主 服务 器 定期 通过 Heart Beat 消息 与 每 一 
个 块 服务 器 通信 ,给 块 服务 器 传递 指令 并 收集 它 的 状态 。GFS 中 的 文件 被 切 分 为 64MB 的 


第 6 章 ”应 用 层 安全 技术 


块 并 以 宛 余 存储 ,每 份 数据 在 系统 中 保存 3 个 以 上 备份 。 
客户 与 主 服务 器 的 交换 只 限于 对 元 数据 的 操作 ,所 有 数据 方面 的 通信 都 直接 和 块 服务 
器 联系 ,这 大 大 提高 了 系统 的 效率 ,防止 主 服务 器 负载 过 重 。 


3. 海量 数据 管理 技术 


云 计 算 需 要 对 分 布 的 海量 的 数据 进行 处 理 、 分 析 , 因 此 ,数据 管理 技术 必需 能 够 高 效 的 
管理 大 量 的 数据 。 云 计算 系统 中 的 数据 管理 技术 主要 是 Google 的 BT(Big Table) 数 据 管 
理 技术 和 Hadoop 团队 开发 的 开源 数据 管理 模块 HBase。 

BT 是 建立 在 GFS、Scheduler、Lock Service 和 Map Reduce 之 上 的 一 个 大 型 的 分 布 式 
数据 库 , 与 传统 的 关系 数据 库 不 同 , 它 把 所 有 数据 都 作为 对 象 来 处 理 , 形 成 一 个 巨大 的 表格 ， 
用 来 分 布 存储 大 规模 结构 化 数据 。 

Google 的 很 多 项 目 使 用 BT 来 存储 数据 ,包括 网 页 查询 .Google earth 和 Google 金融 。 
这 些 应 用 程序 对 BT 的 要 求 各 不 相同 ,数据 大 小 (从 URL 到 网 页 到 卫星 图 像 ) 不 同 ,反应 速 
度 不 同 ( 从 后 端的 大 批 处 理 到 实时 数据 服务 )。 对 于 不 同 的 要 求 ,BT 都 成 功 地 提供 了 灵活 
高 效 的 服务 。 


4. 虚拟 化 技术 


通过 虚拟 化 技术 可 实现 软件 应 用 与 底层 硬件 相隔 离 , 它 包括 将 单个 资源 划分 成 多 个 虚 
拟 资源 的 裂 分 模式 ,也 包括 将 多 个 资源 整合 成 一 个 虚拟 资源 的 聚合 模式 。 虚 拟 化 技术 根据 
对 象 可 分 成 存储 虚拟 化 `. 计 算 虚 拟 化 、 网 络 虚拟 化 等 ,计算 虚拟 化 又 分 为 系统 级 虚拟 化 .应 用 
级 虚拟 化 和 桌面 虚拟 化 。 


5. 云 计算 平台 管理 技术 


云 计 算 资源 规模 庞大 ,服务 器 数量 众多 并 分 布 在 不 同 的 地 点 ,同时 运行 着 数 百 种 应 用 ， 
如 何 有 效 地 管理 这 些 服务 器 ,保证 整个 系统 提供 不 间断 的 服务 是 巨大 的 挑战 。 

云 计算 系统 的 平台 管理 技术 能 够 使 大 量 的 服务 器 协同 工作 ,方便 地 进行 业务 部 署 和 开 
通 ,快速 发 现 和 恢复 系统 故障 ,通过 自动 化 ,智能 化 的 手段 实现 大 规模 系统 的 可 靠 运营 。 


6.1.3 云 计算 安全 威胁 


在 云 计算 出 现 之 后 , 云 计 算 就 与 安全 有 着 密切 的 联系 , 云 安全 指 的 是 针对 云 计 算 自 身 存 
在 的 安全 隐患 ,研究 相应 的 安全 防护 措施 和 解决 方案 ,如 云 计算 安全 体系 架构 、 云 计算 应 用 
服务 安全 、 云 计算 环境 的 数据 保护 等 , 云 计算 安全 是 云 计算 健康 可 持续 发 展 的 重要 前 提 。 


1. 云 计算 安全 事故 实例 


云 计算 系统 的 可 靠 性 ,性 能 以 及 其 他 技术 问题 都 会 带 来 云 计 算 的 相关 风险 。 而 且 云 计 
算 在 安全 性 和 风险 管理 方面 仍 有 不 足 , 即 便 是 最 出 色 的 云 服务 供应 商 也 会 遭遇 服务 中 断 或 
速度 变 慢 的 问题 。 

(1) 2009 年 2 月 24 日 ,谷歌 的 Gmail 电子 邮箱 爆发 全 球 性 故障 ,服务 中 断 时 间 长 达 4 
小 时 。 
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(2) 2009 年 3 月 17 日 ,微软 的 云 计算 平台 Azure 停止 运行 约 22 个 小 时 。Azure 平 台 
的 宕 机 可 能 引发 微软 客户 对 该 云 计算 机 服务 平台 的 安全 担忧 ,也 暴露 了 云 计 算 的 一 个 巨大 

(3) 2009 年 6 月 ,Rackspace 遭受 了 严重 的 云 服 务 中 断 故障 。 供 电 设备 跳闸 ,备份 发 电 
机 失效 ,不 少 机 架 上 服务 器 停机 。 这 场 事故 造成 了 严重 的 后 果 。 

(4) 2010 年 1 月 ,几乎 6 万 8 千 名 的 Salesforce. com 用 户 经历 了 至 少 1 个 小 时 的 宕 机 。 

(5) 2011 年 4 月 21 日 凌晨 ,亚马逊 公司 在 北 弗 吉 尼 亚 州 的 云 计算 中 心 宕 机 ,导致 包括 
回答 服务 Quora .新闻 服务 Reddit Hootsuite 和 位 置 跟踪 服务 FourSquare 在 内 的 一 些 网 站 
受到 了 影响 。 

以 上 安全 事故 使 得 人 们 进一步 思考 公有 云 面临 的 安全 问题 。 


2. 云 计算 安全 的 特征 


由 于 云 计 算 资 源 虚拟 化 、 服 务 化 的 特有 属性 ,与 传统 安全 相 比 , 云 计 算 安全 具有 一 些 新 
的 特征 。 

(1) 传统 的 安全 边界 消失 ,在 传统 安全 中 ,通过 在 物理 上 逮 辑 上 划分 安全 域 ,可 以 清楚 
地 定义 边界 ,但 是 由 于 云 计 算 采 用 虚拟 化 技术 以 及 多 租户 模式 ,传统 的 物理 边界 被 打破 , 物 
理 安全 边界 的 防护 机 制 难以 在 云 计算 环境 中 得 到 有 效应 用 。 

(2) 动态 性 ,在 云 计算 环境 中 ,用 户 的 数量 和 分 类 不 同化 频率 高 ,具有 动态 性 和 移动 性 
强 的 特点 ,其 安全 防护 也 要 进行 相应 的 动态 调整 。 

(3) 服务 安全 保障 , 云 计算 采用 服务 的 交互 模式 ,涉及 服务 的 设计 、 开 发 和 交付 ,需要 对 
服务 的 全 生命 周期 进行 保障 服务 的 可 用 性 和 机 密 性 。 

(4) 数据 安全 保护 ,在 云 计算 中 数据 不 在 当地 存储 ,数据 私密 性 、 数 据 完整 性 保护 、 数 据 
恢复 等 数据 安全 保护 手段 对 于 数据 的 私密 性 和 安全 性 更 加 重要 。 

(5) 第 三 方 监管 和 审计 ,由 于 云 计算 的 模式 ,使 得 服务 提供 商 的 权利 巨大 ,导致 用 户 的 
权利 可 能 难以 保证 ,如 何 确 保 维护 两 者 之 间 平 衔 ,需要 有 第 三 方 监管 和 审计 。 


3. 云 计算 安全 核心 技术 


云 计 算 安 全 的 核心 技术 包括 以 下 五 个 方面 : 

1) 云 计算 安全 面临 的 威胁 

2013 年 , 云 安 全 联盟 (CSA) 对 云 计算 的 威胁 进行 了 排名 ,以 下 是 2013 年 几 个 最 严重 的 
云 计算 安 全 威胁 因素 。 

(1) 数据 泄露 。 

数据 泄露 其 实 每 天 都 在 发 生 , 但 云 计 算 加 重 了 这 种 威胁 。 一 个 设计 不 当 的 多 租户 云 服 
务 数据 库 将 使 攻击 者 不 仅仅 进入 一 个 账户 ,而 且 会 进入 每 一 个 与 该 服务 相关 的 其 他 账户 。 

(2) 数据 丢失 。 

设备 被 损坏 、 意 外 删除 、 天 灾 不 可 抗力 等 都 会 造成 永久 性 的 数据 丢失 ,除非 供应 商 提供 
备份 。 如 果 一 个 企业 的 数据 在 上 传 到 云 之 前 就 进行 加 密 , 就 能 更 好 地 保护 加 密 密 钥 或 数据 。 

(3) 账户 或 服务 流量 支持 。 

黑客 通过 网 络 钓 鱼 、 欺 诈 或 利用 软件 漏洞 来 动 持 无 率 的 用 户 。 通 常 黑客 根据 一 个 密码 
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就 可 以 窃取 用 户 多 个 服务 中 的 资料 ,因为 用 户 不 会 为 每 个 服务 设立 一 个 不 一 样 的 密码 。 对 
于 供应 商 ,如果 被 盗 的 密码 可 以 登录 云 , 那 么 用 户 的 数据 将 被 窃听 、 算 改 , 黑 客 将 向 用 户 返 回 
虚假 信息 ,或 重 定向 用 户 的 服务 到 欺诈 网 站 。 对 用 户 将 可 能 造成 严重 的 损失 。 

(4) 拒绝 服务 。 

剥夺 用 户 访问 他 们 的 资源 和 数据 的 权利 ,并 造成 延迟 是 破坏 云 服务 的 一 种 攻击 方法 ,这 
样 可 能 意味 着 在 线 服 务 的 死亡 。 其 他 形式 的 攻击 ,如 非 对 称 应 用 级 的 DoS 攻击 ,在 不 消耗 
大 量 的 资源 的 情况 下 就 可 利用 弱点 将 Web 服务 器 .数据库 和 其 他 云 资 源 作 为 目标 。 

(5) 恶意 的 内 部 人 员 。 

恶意 的 内 部 人 员 风 险 是 每 个 组 织 必须 考虑 的 方面 。 这 种 情况 不 一 定 发 生 , 但 当 它 发 生 
时 , 它 造成 的 伤害 就 会 很 大 。 云 计算 安全 专家 指出 ,完全 依赖 于 云 服务 提供 商 的 安全 系统 ， 
是 最 大 的 风险 。 

2) 身份 与 权限 控制 

身份 与 权限 控制 解决 方案 是 云 安全 的 核心 问题 之 一 ,在 虚拟 的 ,复杂 的 环境 下 ,如 何 保 
证 用 户 的 应 用 ,数据 清晰 可 控 。 简 化 认证 管理 ,强化 端 到 端的 可 信 接 入 方面 将 会 是 云 安 全 发 
展 的 方向 之 一 。 

3) Web 安全 防护 

云 计算 模式 中 ,Web 应 用 是 用 户 最 直观 的 体验 窗口 ,也 是 唯一 的 应 用 接口 。 而 近 几 年 
风起云涌 的 各 种 Web 攻击 手段 , 则 直接 影响 到 云 计算 的 顺利 发 展 。 

4) 虚拟 化 安全 

虚拟 化 是 云 计算 的 标志 之 一 。 然 而 ,虚拟 化 的 结果 , 却 使 许多 传统 的 安全 防护 手段 失 
效 。 从 技术 层面 上 讲 , 云 计算 与 传统 IT 环境 最 大 的 区 别 在 于 其 虚拟 的 计算 环境 ,也 正 是 这 
一 区 别 导致 其 安全 问题 变 得 异常 “ 束 手 ”。 虚 拟 化 的 计算 ,使 得 应 用 进程 间 的 相互 影响 更 加 
难以 提 摸 ;虚拟 化 的 存储 ,使 得 数据 的 隔离 与 清除 变 得 难以 衡量 ;虚拟 化 的 网 络 结构 ,使 得 传 
统 的 分 域 防 护 变 得 难以 实现 ;虚拟 化 的 服务 提供 模式 ,使 得 对 使 用 者 身份 、 权 限 和 行为 的 鉴 
别 、 控 制 与 审计 变 得 极其 重要 。 

5) 云 安全 服务 

面 对 云 计算 的 安全 问题 , 现 如 今 有 许多 基于 云 服 务 提供 的 安全 ,包括 Web 和 邮件 过 滤 、 
网 络 流量 访问 控制 和 监控 以 及 用 于 支付 卡 业务 的 标记 化 。 不 同安 全 服务 的 一 个 重要 区 别 
是 ,一 些 是 “在 云 中 ”的 而 一 些 是 “针对 云 " 的 , 即 那 些 集成 到 云 环境 中 作为 虚拟 设备 提供 给 用 
户 使 用 和 控制 的 安全 服务 。 

在 选择 云 安 全 服务 时 ,要 多 同 服务 提供 商 沟 通 , 了 解 他 们 能 具体 提供 什么 以 及 是 否 能 满 
足 自己 的 需求 。 为 降低 企业 的 风险 .最 好 签订 一 份 服务 协议 。 


6.1.4 云 计 算 安 全 关键 技术 


云 计算 安全 关键 技术 主要 包括 虚拟 机 安全 技术 、 海 量 用 户 的 身份 认证 、 隐 私 保护 与 数据 
安全 等 三 个 方面 。 


1. 虚拟 机 安全 技术 
虚拟 机 中 的 安全 问题 主要 指针 对 虚拟 机 控制 器 的 各 类 攻击 (对 虚拟 机 控制 器 的 恶意 修 
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改 和 岂 套 等 ) ,以 及 基于 虚拟 机 的 Rootkit。 目 前 针对 这 些 问题 ,主要 采用 的 防护 方法 有 基于 
虚拟 机 的 人 侵 检测 ,基于 虚拟 机 的 内 核 保 护 和 基于 虚拟 机 的 可 信 计 算 等 。 

1) 基于 虚拟 机 的 人 侵 检测 技术 

虚拟 化 技术 带 来 了 计算 机 系统 结构 的 变化 ,也 改变 了 传统 安全 软件 的 应 用 环境 。 目 前 ， 
对 虚拟 机 中 的 入 侵 检 测 技 术 的 研究 主要 集中 在 基于 主机 的 入 侵 检 测 上 。 但 是 ,在 实际 的 应 
用 环境 中 ,大 部 分 的 安全 威胁 都 是 来 自 于 网 络 中 ,在 虚拟 机 环境 中 对 基于 网 络 的 入 侵 检 测 系 
统 的 研究 更 能 有 效 地 保障 虚拟 机 的 运行 安全 。 

虚拟 机 利用 虚拟 机 管理 器 来 管理 和 调度 多 个 客户 操作 系统 对 底层 单一 物理 资源 的 共享 
访问 。 通 过 在 虚拟 机 内 部 虚拟 一 个 网 桥 设备 ,并 把 各 个 客户 操作 系统 的 网 络 设 备 挂 接 到 该 
虚拟 网 桥 上 ,由 此 虚拟 机 实现 了 对 网 络 设备 的 虚拟 化 。 由 于 虚拟 机 系统 的 出 现 导 致 传统 的 
操作 系统 直接 运行 于 硬件 层 之 上 的 结构 发 生变 化 。 在 虚拟 机 系统 之 中 ,VMM 层 位 于 硬件 
层 和 操作 系统 层 之 间 ,运行 于 系统 最 高 特权 级 ,由 VMM 实现 对 系统 所 有 物理 资源 的 虚拟 
化 和 调度 管理 ; 另外 ,同一 个 虚拟 机 平台 上 现在 可 以 部 署 多 台 虚 拟 机 , 和 传统 的 单一 系统 占 
据 整 台 机 器 也 有 了 本 质 的 不 同 。 这 些 特征 都 使 得 传统 的 人 侵 检测 系统 已 经 不 能 完全 适应 机 
器 体系 结构 上 发 生 的 变化 。 

在 一 个 虚拟 机 系统 中 ,可 以 部 署 多 个 虚拟 机 ,并 且 每 个 虚拟 机 部 署 不 同 的 服务 ,因此 会 
产生 不 同 的 安全 级 别 ,在 面向 虚拟 机 网 络 入 侵 检 测 系统 的 设计 中 ,需要 针对 这 些 不 同 的 安全 
级 别 采取 不 同 的 安全 配置 。 同 时 ,也 能 针对 各 个 虚拟 机 进行 单独 配置 ,用 户 可 以 按照 各 个 虚 
拟 机 所 配置 的 服务 类 型 选择 所 需要 的 服务 。 

在 虚拟 机 中 ,由 虚拟 网 桥 负责 转发 虚拟 机 中 所 有 的 数据 流 , 各 个 虚拟 机 的 虚拟 网 络 接口 
直接 挂 接 在 虚拟 网 桥 的 输出 端 ,数据 探测 器 部 署 在 各 个 虚拟 网 络 接口 上 ,直接 捕获 到 进出 虚 
拟 机 的 网 络 数据 包 , 基 于 虚拟 机 的 人 侵 检测 机 制 如 图 6-9 所 示 。 
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图 6-9 基于 虚拟 机 的 人 侵 检测 机 制 


2) 基于 虚拟 机 的 内 核 保护 技术 

基于 虚拟 机 的 Rootkit 是 运行 在 虚拟 机 系统 内 核 空间 的 恶意 程序 ,可 以 修改 内 核 程序 
的 控制 流程 ,从 而 对 虚拟 环境 的 安全 构成 巨大 威胁 。 而 基于 虚拟 机 的 内 核 保护 技术 主要 通 
过 分 析 内 核 中 影响 程序 控制 流程 的 资源 ,并 对 这 些 资源 进行 保护 ,从 而 防止 Rootkit 对 内 核 
控制 流程 的 自 改 。 

Rootkit 按 其 运行 的 权限 不 同 可 以 分 为 应 用 层 Rootkit 和 内 核 级 Rootkit。 

(1) 应 用 层 Rootkit 主要 是 通过 修改 或 替换 系统 工具 或 者 系统 库 来 达到 其 攻击 目标 ,有 
的 应 用 层 Rootkit 还 会 修改 替换 了 的 系统 工具 和 系统 库 的 最 后 修改 时 间 , 所 以 更 具 一 定 的 
欺骗 性 。 目 前 对 应 用 层 Rootkit 的 主要 检测 方法 是 文件 的 完整 性 检查 法 , 即 新 系统 安装 完 
毕 后 通过 这 类 工具 获得 并 保存 系统 的 各 种 信息 ,比如 校 验 和 最 后 修改 时 间 等 等 ,检测 的 时 候 
通过 比较 文件 的 当前 信息 和 保存 的 基准 信息 ,如 果 不 匹配 说 明 攻 击发 生 。 
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(2) 内 核 层 Rootkit 主要 攻击 内 核 的 系统 调用 表 、 中 断 描述 符 表 等 等 。 当 内 核 被 攻击 
后 ,其 提供 给 应 用 层 的 信息 将 不 可 靠 , 因 此 很 少 有 纯 应 用 层 工 具 能 检测 到 内 核 级 Rootkit, 即 
使 能 检测 到 某 些 内 核 级 Rootkit, 但 当 此 Rootkit 升级 后 就 失效 了 。 

目前 内 核 级 检测 工具 通常 都 是 应 用 层 和 内 核 层 ,或 者 是 应 用 层 和 能 结合 /dev/[k]mem 
设备 文件 比较 可 靠 的 获得 内 核 某 些 信息 的 工具 的 结合 。 例 如 kern_check、checkidt 和 
StMichael 等 。kern_check 主要 手段 是 比较 各 个 内 核 符号 在 System. map 文件 中 的 地 址 和 
系统 运行 时 的 地 址 ; checkidt 主要 通过 检查 中 断 描述 符 表 的 完整 性 ,检测 到 攻击 中 断 描述 
表 这 一 特定 类 型 Rootkit; StMichael 主要 手段 是 验证 内 核 关 键 区 域 ,如 代码 段 和 系统 调用 
表 的 完整 性 来 达到 检测 目的 , 它 截获 了 可 加 载 模块 的 加 载 等 系统 调用 ,在 每 次 模块 加 载 等 操 
作 时 都 会 触发 完整 性 的 检查 操作 。 它 还 设置 了 一 个 定时 器 ,以 固定 时 间 间 隔 运 行 完整 性 检 
查 操作 。 

3) 基于 虚拟 机 的 可 信 计 算 

虚拟 机 的 可 信 计 算 也 是 虚拟 机 安全 的 一 个 重要 发 展 方向 。 由 斯 坦 福 大 学 Tal Garfinkel 
等 人 提出 的 Terra 结构 是 目前 在 虚拟 机 可 信 计 算 方面 的 代表 , 它 提供 了 一 个 简单 且 可 变通 
的 设计 模型 ,准许 应 用 设计 者 在 闭合 平台 上 以 同样 的 方法 建立 安全 的 应 用 。 同 时 Terra 支 
持 目 前 的 多 数 操作 系统 和 应 用 。Terra 结构 是 通过 可 信和 虚拟 机 监控 器 (Trusted Virtual 
Machine Monitor,TVMM) 来 实现 上 面 的 目标 的 ,TVMM 是 一 个 高 可 信和 的 虚拟 机 监控 器 ， 
将 单一 的 、 抗 攻击 的 通用 平台 划分 成 多 个 相互 隔离 的 虚拟 机 。 

通过 可 信和 虚拟 监控 器 , 现 有 的 操作 系统 和 应 用 都 能 运行 在 一 个 与 现 有 开放 平台 类 似 的 
明 箱 (open-box) 虚 拟 机 上 ; 它们 也 可 以 运行 在 一 个 提供 专用 闭合 平台 功能 的 自己 的 暗箱 
(closed-box) 虚 拟 机 之 上 。 可 信和 虚拟 机 监控 器 保护 暗箱 虚拟 机 内 容 的 保密 性 和 完整 性 ,在 
暗箱 虚拟 机 里 运行 的 应 用 程序 可 以 修改 自己 的 软件 堆 以 适应 它们 的 安全 要 求 。TVMM 还 
允许 应 用 加 密 的 向 远 端 证 明 运 行 软件 堆 的 身份 ,这 一 过 程 称 之 为 证 明 (attestation)。 

Terra 的 核心 是 虚拟 机 监控 器 , 像 普 通 的 虚拟 机 监控 器 一 样 ,Terra 通过 虚拟 化 硬件 资 
源 , 使 很 多 虚拟 机 能 独立 并 发 地 运行 , 除 此 之 外 , 它 还 提供 额外 的 安全 性 能 ,如 扮演 信任 方 的 
角色 向 远 端 方 证 明 虚 拟 机 上 软件 的 身份 。 

Terra 保障 了 虚拟 机 监控 器 是 可 信 的 。 虚 拟 机 监控 器 既是 整个 虚拟 机 安全 的 瓶颈 ,也 
是 整个 系统 安全 的 基础 ,TVMM 保障 了 VMM 的 安全 性 ,从 而 奠定 了 在 VMM 上 实现 其 他 
软件 的 安全 基础 。 面 向 虚拟 机 的 网 络 人 侵 检测 系统 需要 以 安全 的 VMM 为 实现 保障 。 


2. 海量 用 户 的 身份 认证 


在 互联 网 时 代 的 大 型 数据 业务 系统 中 ,大 量 用 户 的 身份 认证 和 接 和 人 管理 往往 采用 强制 
认证 方式 ,例如 指纹 认证 .USB Key 认证 动态 密码 认证 等 。 但 是 在 这 种 身份 认证 和 管理 主 
要 是 基于 系统 自身 对 于 用 户 身 份 的 不 信任 作为 主要 思想 而 设计 的 。 在 云 计算 时 代 , 因 为 用 
户 更 加 关心 的 云 计算 提供 商 是 否 按照 SLA 实施 双方 约定 好 的 访问 控制 策略 ,所 以 在 云 计 算 
模式 下 ,研究 者 开始 关注 如 何 通过 身份 认证 来 保证 用 户 自身 资源 或 者 信息 数据 等 不 会 被 提 
供 商 或 者 他 人 滥用 。 当 前 比较 可 行 的 解决 方案 就 是 引入 第 三 方 CA 中 心 ,由 后 者 提供 为 双 
方 所 接受 的 私 钥 。 

云 计算 系统 应 建立 统一 、 集 中 的 认证 和 授权 系统 ,以 满足 云 计 算 多 租户 环境 下 复杂 的 用 
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户 权限 策略 管理 和 海量 访问 认证 要 求 ,提高 云 计算 系统 身份 管理 和 认证 的 安全 性 。 

1) 集中 用 户 认证 

集中 用 户 认证 是 指 采 用 主流 认证 方式 ,如 LDAP、 数 字 证 书 认证 、 令 牌 卡 认证 、 硬 件 信息 
绑 定 认证 ,生物 特征 认证 等 ,支持 多 因子 认证 。 对 不 同类 型 和 等 级 的 系统 、 服 务 .端口 采用 相 
应 等 级 的 一 种 或 多 种 组 合 认证 方式 ,以 满足 云 计算 系统 中 不 同 子 系统 的 安全 等 级 与 成 本 及 
易 用 性 的 平衡 要 求 。 提 供用 户 访问 日 志 记 录 , 记 录用 户 登录 信息 ,包括 系统 标识 、 登 录用 户 、 
登录 时 间 、 登 录 IP、 登 录 终端 等 标识 。 

2) 集中 用 户 授权 

集中 用 户 授权 是 指 根据 用 户 、 用 户 组 .用户 级 别 的 定义 来 对 云 计 算 系 统 资源 的 访问 进行 
集中 授权 ,采用 集中 授权 或 分 级 授权 机 制 ,支持 细 颗 粒度 授权 策略 。 

3) 访问 授权 策略 管理 身份 认证 策略 

访问 授权 策略 管理 身份 认证 策略 即 采用 用 户 身份 与 终端 绑 定 的 策略 .完整 性 认证 检查 
策略 和 口令 策略 。 授 权 策略 是 指 支持 采用 集中 授权 或 分 级 授权 策略 。 账 号 策略 是 指 设置 账 
号 安全 策略 ,包括 口令 连续 错误 锁定 账号 .长 期 不 用 导致 账号 失效 .用 户 账 号 未 退出 时 禁止 
重复 登录 等 。 

4) 其 他 功能 要 求 和 日 志 管 理 

支持 对 用 户 认 证 信息 ,授权 信息 等 详细 日 志 的 集中 存储 和 查询 。 加 密 机 制 是 指 支 持 对 
认证 ,授权 等 敏感 数据 的 加 密 存储 及 传输 。 


3. 隐私 保护 与 数据 安全 技术 


虽然 云 计 算 从 服务 提供 方式 上 可 以 划分 为 IaaS( 基 础 设施 即 服 务 )、PaaS( 平 台 即 服务 ) 
和 SaaS( 软 件 即 服务 )3 个 层次 ,但 本 质 上 都 是 将 数据 中 心 外 包 给 云 计算 服务 提供 商 的 模式 。 
因此 ,如 何 保证 用 户 数据 的 私密 性 及 如 何 让 用 户 相信 他 们 的 数据 能 够 获得 必要 的 隐私 保护 
是 云 计算 服务 提供 商 需要 特别 关注 的 问题 。 用 户 隐 私 保护 和 数据 安全 主要 包括 各 类 信息 的 
物理 隔离 或 者 虚拟 化 环境 下 的 隔离 ; 基于 身份 的 物理 或 者 虚拟 安全 边界 访问 控制 ; 数据 的 
异地 容 灾 与 备份 以 及 数据 恢复 ; 数据 的 加 密 传输 和 加 密 存储 ; 剩余 信息 保护 等 。 在 云 计算 
应 用 中 ,数据 量规 模 之 巨 已 经 远 远 超出 传统 大 型 IDC 数据 规模 ,同时 不 同 用 户 对 于 隐私 和 
数据 安全 的 敏感 度 也 各 不 相同 。 对 数据 隐私 的 保护 是 云 计算 服务 能 够 被 大 众 广 泛 认 可 并 获 
得 深入 推广 的 必要 前 提 , 它 要 求 为 用 户 交付 的 服务 的 每 一 个 环节 都 能 得 到 安全 性 保证 。 

在 数据 传输 方面 ,企业 数据 通过 网 络 传递 给 云 计算 服务 提供 商 进行 处 理 , 而 这 些 数据 中 
保存 了 大 量 企 业 的 重要 核心 数据 ,如 企业 的 销售 数据 、 客 户 信息 、 财 务 信息 等 。 如 何 确保 企 
业 的 数据 在 网 络 传输 过 程 中 不 被 窃取 、 修 改 , 保 证 数据 的 完整 性 .保密 性 和 可 利用 性 ,需要 对 
网 络 监测 技术 ,数据 加 密 技 术 和 权限 认证 技术 进行 研究 。 在 云 计算 应 用 环境 下 ,数据 传输 加 
密 可 以 选择 在 链 路 层 、 网 络 层 、 传 输 层 甚 至 应 用 层 等 层面 实现 。 主 要 的 技术 措施 包括 IPSec 
VPN.SSL 等 VPN 技术 ,保证 用 户 数据 在 网 络 传输 中 机 密 性 、 完 整 性 和 可 用 性。 

在 数据 存储 方面 ,企业 数据 存储 在 云 中 心 ,但 用 户 并 不 清楚 自己 的 数据 被 放置 在 哪 一 台 
服务 器 上 ,甚至 根本 不 了 解 这 台 服 务 器 放 署 在 哪个 地 方 , 以 及 服务 器 所 在 地 是 否 会 有 相关 政 
策 从 而 导致 信息 泄露 。 在 这 种 数据 存储 资源 的 共享 环境 下 , 云 计算 服务 提供 商 要 能 保证 数 
据 之 间 的 有 效 隔 离 。 另 外 , 云 计 算 服 务 提供 商 需要 对 企业 托管 的 数据 进行 备份 ,以 备 在 出 现 
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重大 事故 时 及 时 恢复 用 户 数据 ,并 且 要 保证 数据 本 身 及 其 所 有 备份 在 不 需要 时 能 被 完全 删 
除 而 不 留任 何 痕迹 。 因 此 , 云 计算 服务 提供 商 必须 针对 这 些 问 题 对 共享 环境 下 的 数据 存储 
技术 进行 深入 研发 ,以 保证 用 户 在 任何 时 候 都 可 以 安全 地 访问 数据 。 对 于 云 存 储 类 服务 ,一 
般 的 提供 商都 支持 对 数据 进行 加 密 存 储 , 防 止 数 据 被 他 人 非法 窥探 。 一 般 会 采用 效能 较 高 
的 对 称 加 密 算法 ,如 AES、3DES 等 国际 通用 算法 等 。 

在 数据 审计 方面 ,在 云 计 算 模式 下 的 企业 审计 需要 借助 云 计算 服务 提供 商 的 配合 ,并 为 
第 三 方 机 构 提 供 必要 的 信息 支持 ,满足 用 户 企业 的 数据 审计 需求 。 另 外 , 云 计算 服务 提供 商 
的 服务 提供 资质 也 很 重要 ,要 确保 服务 商 在 提供 有 效 的 云 计 算 服 务 的 同时 不 损害 用 户 的 利 
益 。 技 术 实 力 弱 、 难 以 长 期 存在 的 云 计 算 服 务 提供 商 将 带 来 很 高 的 安全 风险 。 

在 运营 策略 方面 ,由 于 企业 关键 的 数据 存储 在 云端 ,用 户 会 因为 担心 隐私 被 泄露 而 产生 
顾虑 。 云 计算 服务 提供 商 需 要 对 其 运营 策略 进行 改进 ,通过 借助 商业 规则 和 信誉 ,树立 良好 
的 企业 形象 和 公信 力 ,在 保障 用 户 隐 私 的 同时 ,又 必须 对 用 户 行为 进行 必要 的 监督 和 管制 。 
例如 , 云 计算 的 按 需 提供 资源 并 按 需 计 费 的 模式 降低 了 不 良 用 户 通 过 网 络 发 起 不 良 行为 的 
成 本 ,会 助长 其 破坏 互联 网 安全 的 行为 。 对 于 这 类 情况 , 云 计算 服务 提供 商 必须 给 予 监 督 并 
在 政策 指导 下 坚决 予以 打击 ,这 也 是 服务 提供 商 的 安全 责任 所 在 。 


6.1.5 云 计算 与 物 联网 
1. 云 计算 与 物 联网 关系 


由 于 云 计算 从 本 质 上 来 说 就 是 一 个 用 于 海量 数据 处 理 的 计算 平台 ,因此 , 云 计算 技术 是 
物 联网 涵盖 的 技术 范畴 之 一 。 随 着 物 联网 的 发 展 ,未 来 物 联网 将 势必 产生 海量 数据 ,而 传统 
的 硬件 架构 服务 器 将 很 难 满足 数据 管理 和 处 理 要 求 , 如 果 将 云 计算 运用 到 物 联网 的 传输 层 
和 应 用 层 ,采用 云 计算 的 物 联网 ,将 会 在 很 大 程度 上 提高 运作 效率 。 

运用 云 计 算 模式 ,使 物 联网 中 数 以 兆 计 的 各 类 物品 的 实时 动态 管理 .智能 分 析 变 得 可 
能 。 物 联网 通过 将 射频 识别 技术 (RFID)、 传 感 器 技术 、 纳 米 技术 等 新 技术 充分 运用 在 各 行 
各 业 之 中 。 将 各 种 物体 充分 连接 ,并 通过 无 线 等 网 络 将 采集 到 的 各 种 实时 动态 信息 送 达 计 
算 处 理 中 心 ,进行 汇总 ,分 析 和 处 理 ,从 而 将 各 种 物体 连接 。 

物 联 网 和 互联 网 的 融合 ,需要 更 高 层次 的 整合 ,需要 “更 透彻 的 感知 、 更 全 面 的 互联 和 互 
通 、 更 深入 的 智能 化 ”。 这 同样 也 需要 依靠 高 效 的 、 动 态 的 、 可 以 大 规模 扩展 的 计算 机 资源 处 
理 能 力 , 而 这 正 是 云 计算 模式 所 擅长 的 。 同 时 , 云 计 算 的 创新 型 服务 交付 模式 ,简化 服务 的 
交付 ,加 强 物 联网 和 互联 网 之 间 及 其 内 部 的 互联 互通 ,可 以 实现 新 商业 模式 的 快速 创新 , 促 
进 物 联网 和 互联 网 的 智能 融合 。 


2. 云 计算 在 物 联 网 中 的 应 用 


将 云 计算 的 云 计算 、 云 储存 、 云 服务 、 云 终端 等 技术 应 用 于 物 联 网 的 感知 层 、 应 用 层 及 网 
络 层 , 从 而 解决 物 联网 中 海量 信息 和 数据 的 管理 问题 。 

1) 节点 不 可 信 的 问题 

可 以 有 效 地 解决 服务 器 的 节点 不 可 信 的 问题 ,可 以 最 大 限度 地 降低 服务 器 的 出 错 概率 。 
随 着 科技 的 不 断 进 步 发 展 , 物 联网 已 经 从 原来 的 局 域 网 逐渐 的 发 展 成 为 城 域 网 ,其 信息 量 也 
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随 之 不 断 增多 ,这 样 也 就 导致 服务 器 的 数量 不 断 增加 ,从 而 导致 节点 的 出 错 概率 的 增加 。 在 
云 计算 中 ,可 以 有 不 同 数 目的 虚拟 服务 器 组 ,其 可 以 按照 先 来 先 提供 服务 的 方式 ,以 此 来 完 
成 节点 之 间 的 分 布 式 的 调度 ,这样 在 屏蔽 相关 节点 的 时 候 , 也 会 提升 相应 的 速率 , 云 计 算 可 
以 有 效 地 保障 物 联 网 无 间断 安全 服务 的 实现 。 

2) 获得 很 好 的 经 济 收益 

可 以 保障 物 联网 在 低 的 投入 下 ,获得 很 好 的 经 济 收益 。 一 般 情况 下 ,服务 器 的 硬件 资源 
都 是 有 一 定 限度 的 , 当 服务 器 的 响应 数量 超出 了 自身 承载 数量 的 最 大 值 ,可 能 会 造成 服务 器 
的 瘫痪 现象 的 发 生 。 而 云 计 算 的 出 现 , 就 可 以 通过 采用 机 群 均衡 的 调度 方式 ,在 服务 器 访问 
数量 达到 最 大 的 负载 的 时 候 ,通过 改变 服务 的 等 级 ,以 此 来 动态 的 减少 或 者 是 增加 服务 器 的 
数量 以 及 质量 ,达到 释放 访问 压力 的 效果 。 

3) 实现 物 联网 的 广泛 连接 

可 以 实现 物 联网 由 局 域 网 到 互联 网 的 广泛 连接 ,能够 很 大 程度 上 对 信息 资源 进行 共享 ， 
能 够 保障 物 联 网 的 相关 信息 放 在 互联 网 的 云 计 算 中 心 上 , 这 样 就 能 够 保障 信息 的 空间 性 。 
在 任何 地 方 只 要 有 相应 的 传感器 芯片 ,就 能 够 从 服务 器 中 收 到 相关 的 信息 。 


3. 云 计算 与 物 联网 中 的 结合 方式 


云 计 算 与 物 联 网 的 结合 方式 我 们 可 以 分 为 以 下 几 种 。 

1) 单 中 心 , 多 终端 

在 此 类 模式 中 ,分 布 范围 较 小 的 各 个 物 联 网 终端 (传感器 .摄像 头 或 3G 手机 等 ) ,把 云 
中 心 或 部 分 云 中 心 作为 数据 /处 理 中 心 ,终端 所 获得 信息 ,数据 统一 由 云 中 心 处 理 及 存储 , 云 
中 心 提 供 统一 界面 给 使 用 者 操作 或 者 查看 。 

这 类 应 用 非常 多 ,如 小 区 及 家 庭 的 监控 、 对 某 一 高 速 路 段 的 监测 ,幼儿园 小 朋友 监管 以 
及 某 些 公共 设施 的 保护 等 。 实 现 这 类 应 用 的 云 中 心 ,可 提供 海量 存储 和 统一 界面 ,分 级 管理 
等 功能 ,对 日 常生 活 提供 较 好 的 帮助 。 一 般 此 类 云 中 心 以 私有 云 居 多 。 

2) 多 中 心 , 大 量 终端 

对 于 很 多 区 域 跨度 较 大 的 企业 、 单 位 而 言 ,多 中 心 .大 量 终 端的 模式 较 适合 。 壁 如 ,一 个 
跨 多 地 区 或 者 多 国家 的 企业 , 因 其 分 公司 或 分 厂 较 多 ,要 对 其 各 公司 或 工厂 的 生产 流程 进行 
监控 、 对 相关 的 产品 进行 质量 跟踪 等 等 。 

同 理 , 当 有 些 数据 或 者 信息 需要 及 时 甚至 实时 共享 给 各 个 终端 的 使 用 者 时 ,也 可 采取 这 
种 方式 。 举 个 简单 的 例子 ,假如 北京 地 震中 心 能 预测 到 某 地 10 分 钟 后 会 有 地 震 , 只 需要 通 
过 这 种 途径 ,仅仅 十 几 秒 就 能 将 地 震 的 危急 警告 信息 发 出 ,可 尽量 避免 不 必要 的 损失 。 中 国 
联通 的 “互联 云 " 思 想 就 是 基于 此 思路 提出 的 。 这 个 的 模式 的 前 提 是 我 们 的 云 中 心 必须 包含 
公共 云 和 私有 云 ,并且 他 们 之 间 的 互联 没有 障碍 。 这 样 ,对 于 有 些 机 密 的 事情 ,比如 企业 机 
密 等 可 较 好 地 保密 而 又 不 影响 信息 的 传递 与 传播 。 

3) 信息 与 应 用 分 层 处 理 ,海量 终端 

这 种 模式 可 以 针对 用 户 的 范围 广 , 信 息 及 数据 种 类 多 ,安全 性 要 求 高 等 特征 来 打造 。 当 
前 ,客户 对 各 种 海量 数据 的 处 理 需求 越 来 越 多 ,针对 此 情况 ,我 们 可 以 根据 客户 需求 及 云 中 
心 的 分 布 进行 合理 的 分 配 。 对 需要 大 量 数据 传送 ,但 是 安全 性 要 求 不 高 的 ,如 视频 数据 、 游 
戏 数据 等 ,我 们 可 以 采取 本 地 云 中 心 处 理 或 存储 。 对 于 计算 要 求 高 ,数据 量 不 大 的 ,可 以 放 
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在 专门 负责 高 端 运算 的 云 中 心里 。 而 对 于 数据 安全 要 求 非常 高 的 信息 和 数据 ,我 们 可 以 放 
在 具有 灾 备 中 心 的 云 中 心里 。 


4. 云 计算 与 物 联网 结合 面临 的 问题 


1) 规模 问题 

规模 化 是 云 计算 与 物 联网 结合 的 前 提 条 件 。 只 有 当 物 联网 的 规模 足够 大 之 后 , 才 有 可 
能 和 云 计算 结 合 起 来 ,比如 行业 应 用 中 的 智能 电网 、 地 震 台 网 监测 等 等 需要 云 计算 。 而 对 一 
般 性 的 .局 域 的 、 家 庭 网 的 物 联 网 应 用 , 则 没有 必要 结合 云 计 算 。 如 何 使 两 者 发 展 至 相应 规 

2) 安全 问题 

无 论 是 云 计算 还 是 物 联 网 ,都 有 海量 的 物 . 人 相关 的 数据 。 若 安全 措施 不 到 位 ,或 者 数 
据 管理 存在 漏洞 ,它们 将 使 我 们 的 生活 无 所 通 形 。 使 我 们 面临 黑客 、 病 毒 的 威胁 ,甚或 被 恐 
怖 分 子 轻易 跟踪 、 定 位 ,这 势必 带 来 对 个 人 隐私 的 侵犯 和 企业 机 密 泄 露 等 问题 。 破 坏 了 信息 
的 合法 有 序 使 用 要 求 , 可 能 导致 人 们 的 生活 、 工 作 陷入 瘫痪 ,社会 秩序 混乱 。 因 此 ,这 就 要 求 
政府 ,企业 、 科 研 院 所 等 各 有 关 部 门 运用 技术 、 法 律 ,行政 等 各 种 手段 ,解决 安全 问题 。 

3) 网 络 连 接 问 题 

云 计算 和 物 联 网 都 需要 持续 、 稳 定 的 网 络 连接 ,以 传输 大 量 数据 。 如 果 在 低 效率 网 络 连 
接 的 环境 下 , 则 不 能 很 好 工作 ,难以 发 挥 应 用 的 作用 。 因 此 ,如 何 解 决 不 同 网 络 ( 有 线 网 络 、 
无 线 网 络 ) 之 间 的 有 效 通 信 , 建 立 持续 、 大 容量 、 高 可 靠 的 网 络 连接 ,需要 深入 研究 。 

4) 标准 化 问题 

标准 是 对 任何 技术 的 统一 规范 ,由 于 云 计算 和 物 联 网 都 是 由 多 设备 、 多 网 络 、 多 应 用 通 
过 互相 融合 形成 的 复杂 网 络 ,需要 把 各 系统 都 通过 统一 的 接口 .通信 协议 等 标准 联系 在 一 
起 。 这 将 是 在 两 者 中 不 断 发 展 , 有 效 健全 的 问题 。 

总 之 , 物 联 网 是 指 * 把 所 有 物品 通过 射频 识别 等 信息 传 感 设 备 与 互联 网 连接 起 来 ,实现 
智能 化 识别 和 管理 ”; 云 计 算是 指 “ 利 用 互联 网 的 分 布 性 等 特点 来 进行 计算 和 存储 ”。 前 者 
是 对 互联 网 的 极 大 拓展 ,而 后 者 则 是 一 种 网 络 应 用 模式 ,两 者 存在 着 较 大 的 区 别 。 

然而 ,对 于 物 联 网 来 说 ,本 身 需 要 进行 大 量 而 快速 的 运算 , 云 计 算 带 来 的 高 效率 的 运算 
模式 正好 可 以 为 其 提供 良好 的 应 用 基础 。 没 有 云 计算 的 发 展 , 物 联网 也 就 不 能 顺利 实现 ,而 
物 联 网 的 发 展 又 推动 了 云 计 算 技术 的 进步 ,因为 只 有 真正 与 物 联 网 结合 后 , 云 计 算 才 算是 真 
正 意义 上 从 概念 走向 应 用 ,两 者 缺 一 不 可 。 


6.2 中 间 件 安全 


6.2.1 中 间 件 概述 


顾名思义 ,中 间 件 (Middleware) 是 处 于 操作 系统 与 应 用 程序 中 间 的 软件 。 中 间 件 的 结 
构 如 图 6-10 所 示 。 

在 众多 关于 中 间 件 的 定义 中 ,被 各 界 广泛 接受 的 是 IDC 的 表述 , 即 中 间 件 是 一 种 独立 
的 系统 软件 或 服务 程序 ,分 布 式 应 用 软件 借助 这 种 软件 在 不 同 的 技术 之 间 共 享 资源 ,中 间 件 
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中 间 件 (分 布 式 系统 服务 : Web 服 务 器 、 事 务 监控 器 、 消 息 队列 ) 


操作 系统 操作 系统 | a 操作 系统 


图 6-10 中间 件 的 结构 


位 于 客户 机 服务 器 的 操作 系统 之 上 ,管理 计算 资源 和 网 络 通信 。 

IDC 对 中 间 件 的 定义 表明 ,中 间 件 是 一 类 软件 ,而 非 一 种 软件 ; 中 间 件 不 仅仅 实现 互 
连 , 还 要 实现 应 用 之 间 的 互 操作 ; 中 间 件 是 基于 分 布 式 处 理 的 软件 ,最 突出 的 特点 是 其 网 络 
通信 功能 。 

中 间 件 是 基础 软件 的 一 大 类 ,属于 可 复 用 软件 的 范畴 。 人 们 在 使 用 中 间 件 时 ,往往 将 一 
组 中 间 件 集成 在 一 起 ,构成 一 个 平台 (包括 开发 平台 和 运行 平台 ) ,但 在 这 组 中 间 件 中 必需 要 
有 一 个 通信 中 间 件 , 即 中 间 件 二 平台 十 通信 。 这 个 定义 也 限定 了 只 有 用 于 分 布 式 系统 中 才 
能 称 为 中 间 件 ,同时 还 可 以 把 它 与 操作 系统 和 应 用 软件 区 分 开 来 。 

中 间 件 是 一 类 连接 软件 组 件 和 应 用 的 计算 机 软件 。 它 包括 一 组 服务 ,以 便于 运行 在 一 
台 或 多 台 计 算 机 上 的 多 个 软件 通过 网 络 进行 交互 。 该 技术 所 提供 的 互 操作 性 ,推动 了 一 致 
分 布 式 体系 架构 的 演进 。 中 间 件 架构 通常 用 于 支持 分 布 式 应 用 软件 ,并 简化 了 其 复杂 程度 。 
它 包 括 Web 服务 器 、 事 务 监控 器 和 消息 队列 软件 等 。 

目前 ,中 间 件 技术 发 展 很 快 ,已 经 与 操作 系统 和 数据 库 并 列 为 3 大 基础 软件 。 

中 间 件 位 于 操作 系统 、 网 络 和 数据 库 的 上 层 ,应 用 程序 的 下 层 。 中 间 件 的 核心 作用 是 通 
过 管理 计算 资源 和 网 络 通信 ,为 各 类 分 布 式 应 用 软件 共享 资源 提供 支撑 。 广 义 地 看 ,中 间 件 
的 总 体 作 用 是 为 处 于 自己 上 层 的 应 用 软件 提供 运行 与 开发 的 环境 ,帮助 用 户 灵活 地 、 高 效 地 
开发 和 集成 复杂 的 应 用 软件 。 

中 间 件 的 产生 与 迅速 发 展 的 原因 如 表 6-1 所 示 。 


表 6-1 操作 系统 ,数据库 管理 系统 与 中 间 件 的 比较 


基础 软件 类 型 操作 系统 数据 库 管理 系统 中 间 件 
产生 原因 硬件 过 于 复杂 数据 过 于 复杂 网 络 环境 过 于 复杂 
主要 作用 管理 各 种 资源 管理 各 类 数据 支持 不 同 的 交互 模式 
理论 基础 各 种 调度 算法 各 种 数据 模型 各 种 协议 .各 种 接口 
产品 形态 功能 类 似 功能 类 似 种 类 多 ,功能 差别 大 


由 于 计算 机 网 络 环境 的 日 益 复杂 ,为 了 支持 各 种 不 同 的 交互 模式 ,产生 了 适应 各 种 不 同 
网 络 环境 和 应 用 系统 的 中 间 件 。 


6.2.2 中 间 件 的 分 类 


中 间 件 所 包括 的 范围 十 分 广泛 ,针对 不 同 的 应 用 需求 涌现 出 多 种 各 具 特 色 的 中 间 件 产 
品 。 但 至 今 中 间 件 还 没有 一 个 比较 精确 的 定义 ,因此 ,在 不 同 的 角度 或 不 同 的 层次 上 ,对 中 
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间 件 的 分 类 也 会 有 所 不 同 。 由 于 中 间 件 需要 屏蔽 分 布 环境 中 异 构 的 操作 系统 和 网 络 协 议 ， 
它 必须 能 够 提供 分 布 环境 下 的 通信 服务 ,我 们 将 这 种 通信 服务 称 之 为 中 间 件 平台 。 

基于 目的 和 实现 机 制 的 不 同 , 可 以 将 中 间 件 平台 分 为 以 下 几 类 : 远程 过 程 调用 
(Remote Procedure Call Middleware, RPC)、 面向 消息 的 中 间 件 (Message-Oriented 
Middleware, MOM)、 对 象 请 求 代理 (Object Request Broker, ORB) 和 事务 处 理 监控 
(Transaction Processing Monitor, TPM) 。 

它们 可 向 上 提供 不 同形 式 的 通信 服务 ,包括 同步 排队 、 订 阅 发 布 .广播 等 等 ,在 这 些 基 
本 的 通信 平台 之 上 ,可 构筑 各 种 框架 ,为 应 用 程序 提供 不 同 领 域内 的 服务 ,如 事务 处 理 监 控 
器 、 分 布 数据 访问 、 对 象 事务 管理 器 OTM 等 。 平台 为 上 层 应 用 屏蔽 了 异 构 平 台 的 差异 ,而 
其 上 的 框架 又 定义 了 相应 领域 内 的 应 用 系统 结构 .标准 的 服务 组 件 等 ,用 户 只 人 须 告 诉 框架 所 
关心 的 事件 ,然后 提供 处 理 这 些 事件 的 代码 。 当 事件 发 生 时 ,框架 则 会 调用 用 户 的 代码 。 用 
户 代码 不 用 调用 框架 ,用 户 程序 也 不 必 关 心 框 架 结构 、 执 行 流程 ,对 系统 级 API 的 调用 等 ， 
所 有 这 些 由 框架 负责 完成 。 因 此 ,基于 中 间 件 开发 的 应 用 具有 良好 的 可 扩充 性 、 易 管理 性 、 
高 可 用 性 和 可 移植 性 。 


1. 远程 过 程 调用 


远程 过 程 调用 (Remote Procedure Call, RPC) 是 一 种 广泛 使 用 的 分 布 式 应 用 程序 处 理 
方法 。 一 个 应 用 程序 使 用 RPC 来 “远程 ”执行 一 个 位 于 不 同 地 址 空间 里 的 过 程 ,并 且 从 效果 
上 看 和 执行 本 地 调用 相同 。 事实 上 ,一 个 RPC 应 用 分 为 两 个 部 分 : Server 和 Client。 
Server 提供 一 个 或 多 个 远程 过 程 ; Client 向 Server 发 出 远程 调用 。Server 和 Client 可 以 位 
于 同一 台 计 算 机 ,也 可 以 位 于 不 同 的 计算 机 ,甚至 运行 在 不 同 的 操作 系统 之 上 。 它 们 通过 网 
络 进行 通信 。Client 运行 相应 的 Server 提供 的 数据 转换 和 通信 服务 ,从 而 屏蔽 不 同 的 操作 
系统 和 网 络 协议 。 在 这 里 RPC 通信 是 同步 的 ,采用 线程 可 以 进行 异步 调用 。 

在 RPC 模型 中 ,Client 和 Server 只 要 具备 了 相应 的 RPC 接口 ,并 且 具 有 RPC 运行 支 
持 , 就 可 以 完成 相应 的 互 操 作 , 而 不 必 限 制 于 特定 的 Server。 因 此 ,RPC 为 Client/Server 分 
布 式 计算 提供 了 有 力 地 支持 。 同 时 ,远程 过 程 调用 RPC 所 提供 的 是 基于 过 程 的 服务 访问 ， 
Client 与 Server 进行 直接 连接 ,没有 中 间 机 构 来 处 理 请 求 , 因 此 也 具有 一 定 的 局 限 性 。 比 
如 ,RPC 通常 需要 一 些 网 络 细节 以 定位 Server; 在 Client 发 出 请 求 的 同时 ,要 求 Server 必 
须 是 活动 的 等 等 。 


2. 面向 消息 的 中 间 件 


面向 消息 的 中 间 件 (Message-Oriented Middleware, MOM) 指 的 是 利用 高 效 可 靠 的 消 
息 传递 机 制 进行 平台 无 关 的 数据 交流 ,并 基于 数据 通信 来 进行 分 布 式 系统 的 集成 。 通 过 提 
供 消 息 传递 和 消息 排队 模型 , 它 可 在 分 布 环 境 下 扩展 进程 间 的 通信 ,并 支持 多 通信 协议 、. 语 
言 应 用 程序 .硬件 和 软件 平台 。 流 行 的 MOM 中 间 件 产品 有 IBM 的 MQSeries、BEA 的 
MessageQ 等 。 消 息 传递 和 排队 技术 有 以 下 三 个 主要 特点 : 

1) 通信 程序 可 在 不 同 的 时 间 运 行 

程序 不 在 网 络 上 直接 相互 通话 ,而 是 间接 地 将 消息 放 入 消息 队列 ,因为 程序 间 没 有 直接 
的 联系 。 所 以 它们 不 必 同 时 和 运行。 消息 放 入 适当 的 队列 时 ,目标 程序 甚至 根本 不 需要 正在 
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运行 ; 即使 目标 程序 在 运行 ,也 不 意味 着 要 立即 处 理 该 消息 。 

2) 对 应 用 程序 的 结构 没有 约束 

在 复杂 的 应 用 场合 中 ,通信 程序 之 间 不 仅 可 以 是 一 对 一 的 关系 ,还 可 以 进行 一 对 多 和 多 对 
一 方式 ,甚至 是 上 述 多 种 方式 的 组 合 。 多 种 通信 方式 的 构造 并 没有 增加 应 用 程序 的 复杂 性 。 

3) 程序 与 网 络 复杂 性 相隔 离 

程序 将 消息 放 入 消息 队列 或 从 消息 队列 中 取出 消息 来 进行 通信 ,与 此 关联 的 全 部 活动 ， 
比如 维护 消息 队列 ,维护 程序 和 队列 之 间 的 关系 、 处 理 网 络 的 重新 启动 和 在 网 络 中 移动 消息 
等 是 MOM 的 任务 ,程序 不 直接 与 其 他 程序 通话 ,并 且 它 们 不 涉及 网 络 通信 的 复杂 性 。 


3. 对 象 请 求 代理 中 间 件 


随 着 对 象 技术 与 分 布 式 计算 技术 的 发 展 ,两 者 相互 结合 形成 了 分 布 对 象 计算 ,并 发 展 为 
当今 软件 技术 的 主流 方向 。1990 年 底 , 对 象 管理 集团 OMG 首次 推出 对 象 管理 结构 (Object 
Management Architecture,OMA) ,对象 请 求 代 理 中 间 件 (Object Request Broker, ORB) 是 
这 个 模型 的 核心 组 件 。 它 的 作用 在 于 提供 一 个 通信 框架 ,透明 地 在 异 构 的 分 布 计算 环境 中 
传递 对 象 请 求 。CORBA 规范 包括 了 ORB 的 所 有 标准 接口 。1991 年 推出 的 CORBA 1.1 
定义 了 接口 描述 语言 OMG IDL 和 支持 Client/Server 对 象 在 具体 的 ORB 上 进行 互 操作 的 
API。CORBA 2.0 规范 描述 的 是 不 同 厂商 提供 的 ORB 之 间 的 互 操作 。 

对 象 请 求 代理 是 对 象 总 线 , 它 在 CORBA 规范 中 处 于 核心 地 位 ,定义 异 构 环境 下 对 象 透 
明 地 发 送 请 求 和 接收 响应 的 基本 机 制 , 是 建立 对 象 之 间 client/server 关系 的 中 间 件 。ORB 
使 得 对 象 可 以 透明 地 向 其 他 对 象 发 出 请 求 或 接受 其 他 对 象 的 响应 ,这 些 对 象 可 以 位 于 本 地 
也 可 以 位 于 远程 机 器 。ORB 拦截 请 求 调用 ,并 负责 找到 可 以 实现 请 求 的 对 象 , 传 送 参数 、 调 
用 相应 的 方法 .返回 结果 等 。Client 对 象 并 不 知道 同 Server 对 象 通信 、 激 活 或 存储 Server 
对 象 的 机 制 ,也 不 必 知 道 Server 对 象 位 于 何 处 、. 它 是 用 何 种 语言 实现 的 、 使 用 什么 操作 系统 
或 其 他 不 属于 对 象 接口 的 系统 成 分 。 

值得 指出 的 是 Client 和 Server 角色 只 是 用 来 协调 对 象 之 间 的 相互 作用 ,根据 相应 的 场 
合 ,ORB 上 的 对 象 可 以 是 Client, 也 可 以 是 Server, 甚 至 两 者 兼 有 。 当 对 象 发 出 一 个 请 求 时 ， 
它 是 处 于 Client 角色 ; 当 它 在 接收 请 求 时 , 它 就 处 于 Server 角色 。 大 部 分 的 对 象 都 是 既 扮 
演 Client 角色 又 扮演 Server 角色 。 另 外 由 于 ORB 负责 对 象 请 求 的 传送 和 Server 的 管理 ， 
Client 和 Server 之 间 并 不 直接 连接 ,因此 ,与 RPC 所 支持 的 单纯 的 Client/Server 结构 相 
比 ,ORB 可 以 支持 更 加 复杂 的 结构 。 


4. 事务 处 理 监 控 中 间 件 


事务 处 理 监 控 (Transaction Processing Monitor,TPM) 最 早出 现在 大 型 机 上 ,为 其 提供 
支持 大 规模 事务 处 理 的 可 靠 运行 环境 。 随 着 分 布 计算 技术 的 发 展 ,分 布 应 用 系统 对 大 规模 
的 事务 处 理 提出 了 需求 ,比如 商业 活动 中 大 量 的 关键 事务 处 理 。 事 务 处 理 监 控 界 于 Client 
和 Server 之 间 ,进行 事务 管理 与 协调 、 负 载 平衡 ,失败 恢复 等 ,以 提高 系统 的 整体 性 能 。 它 
可 以 被 看 作 是 事务 处 理应 用 程序 的 “操作 系统 ”。 总 体 上 来 说 ,事务 处 理 监控 有 以 下 功能 。 

1) 进程 管理 

进程 管理 包括 启动 Server 进程 ,为 其 分 配 任务 ,监控 其 执行 并 对 负载 进行 平衡 。 
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2) 事务 管理 

事务 管理 即 保证 在 其 监控 下 的 事务 处 理 的 原则 性 ,一致 性 、 独 立 性 和 持久 性 。 

3) 通信 管理 

通信 管理 为 Client 和 Server 之 间 提 供 了 多 种 通信 机 制 ,包括 请 求 响应 ,会 话 、 排 队 、 订 
阅 发 布 和 广播 等 。 

事务 处 理 监控 能 够 为 大 量 的 Client 提供 服务 ,比如 飞机 订 票 系统 。 如 果 Server 为 每 一 
个 Client 都 分 配 其 所 需要 的 资源 的 话 , 那 Server 将 不 堪 重 负 。 但 实际 上 ,在 同一 时 刻 并 不 
是 所 有 的 Client 都 需要 请 求 服务 .而 一 旦 某 个 Client 请 求 了 服务 , 它 希望 得 到 快速 的 响应 。 
事务 处 理 监控 在 操作 系统 之 上 提供 一 组 服务 ,对 Client 请 求 进行 管理 并 为 其 分 配 相 应 的 服 
务 进程 ,使 Server 在 有 限 的 系统 资源 下 能 够 高 效 地 为 大 规模 的 客户 提供 服务 。 


6.2.3 RFID 中 间 件 


1. RFID 中 间 件 的 工作 原理 


RFID 中 间 件 扮演 RFID 的 标签 和 应 用 程序 之 间 的 中 介 角 色 , 从 应 用 程序 端 使 用 中 间 件 
提供 一 组 通用 的 应 用 程序 接口 (APD 。 中 间 件 可 以 连接 到 RFID 的 读 写 器 , 读 取 RFID 标签 
中 的 数据 。 因 此 ,尽管 存储 RFID 标签 信息 的 数据 库 软件 或 后 端 应 用 程序 被 修改 或 被 其 他 
软件 取代 ,甚至 RFID 读 写 器 的 种 类 发 生变 化 等 情况 发 生 时 ,应 用 端 不 须 修改 也 同样 能 够 处 
理 。 这 样 , 解 决 了 多 对 多 连接 的 维护 复杂 性 问题 。 

RFID 中 间 件 是 一 种 面向 消息 的 中 间 件 ,信息 以 消息 的 形式 从 一 个 程序 传送 到 另 一 个 
或 多 个 程序 。 信 息 可 以 以 异步 的 形式 传送 ,所 以 传送 者 不 必 等 待 响应 。 面 向 消息 的 中 间 件 
包含 的 功能 不 仅 是 传递 信息 ,还 必须 包括 解 译 数据 安全 性 、 数 据 广播 .错误 恢复 、 定 位 网 络 
资源 . 找 出 成 本 最 低 的 路 径 、 消 息 与 要 求 的 优先 次 序 以 及 延伸 的 除 错 工具 等 服务 。 


2. RFID 中 间 件 的 分 类 


RFID 中 间 件 可 以 从 架构 上 分 为 两 类 。 

1) 以 应 用 程序 为 中 心 

这 种 设计 模式 是 通过 RFID 读 写 器 厂商 提供 的 应 用 程序 接口 ,以 Hot Code 方式 直接 编 
写 特 定 的 RFID 阅读 器 的 读 写 数据 适配器 ,并 传送 至 后 端 系统 的 应 用 程序 或 数据 库 , 从 而 达 
到 与 后 端 系统 或 服务 连接 的 目的 。 

2) 以 软件 架构 为 中 心 

随 着 企业 物 联 网 应 用 系统 复杂 度 的 提高 ,企业 将 无 法 负荷 以 Hot Code 方式 为 每 个 应 
用 程序 编写 适配器 ,同时 还 将 会 面临 对 象 标准 化 等 技术 难题 。 此 时 ,企业 可 以 考虑 采用 厂商 
提供 的 标准 规格 的 RFID 中 间 件 。 这 样 , 尽 管 发 生 RFID 标签 信息 的 数据 库 软件 改 由 其 他 
软件 蔡 代 ,或 者 RFID 标签 的 读 写 器 种 类 变化 等 情况 ,应 用 端 也 不 需要 做 任何 修改 。 


3. RFID 中 间 件 的 特点 


1) 独立 与 架构 
RFID 中 间 件 独立 并 介 于 RFID 的 读 写 器 与 后 端 应 用 程序 之 间 , 并 且 能 够 与 多 个 RFID 
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读 写 器 以 及 多 个 后 端 应 用 程序 连接 ,从 而 减轻 架构 和 维护 的 复杂 性 。 

2) 数据 流 

RFID 的 主要 目的 是 将 实体 对 象 转换 为 信息 环境 下 的 虚拟 对 象 ,因此 数据 处 理 是 RFID 
的 最 重要 的 功能 。RFID 中 间 件 具有 数据 的 收集 、 过 滤 、 整 合 与 传递 等 特性 ,以 便 将 正确 的 
对 象 信息 传送 到 企业 后 端的 应 用 系统 。 

3) 处 理 流 

RFID 中 间 件 采用 程序 逻辑 以 及 存储 再 转送 的 功能 来 提供 顺序 的 消息 流 , 具 有 数据 流 
的 设计 与 管理 的 能 力 。 

4) 标准 

RFID 系统 为 自动 数据 采样 技术 与 辨析 实体 对 象 的 应 用 。EPC global 制定 了 适用 于 全 
球 各 种 产品 的 唯一 识别 号 码 的 统一 标准 , 即 电 子 产品 编码 (Electronic Product Code,EPC) 。 
EPC 在 供应 链 系统 中 以 一 串 数字 来 识别 某 种 特定 的 商品 。 通 过 无 线 射 频 辨识 标签 ,由 
RFID 的 读 写 器 读 人 后 ,传送 到 计算 机 或 应 用 系统 中 的 过 程 称 为 对 象 命名 服务 。 对 象 命名 
服务 系统 会 锁定 计算 机 网 络 中 的 固定 点 , 抓 取 有 关 商 品 的 信息 。EPC 存放 在 RFID 的 标签 
中 ,被 RFID 读 写 器 读 出 后 , 即 可 提供 追踪 EPC 所 对 应 的 物品 名 称 及 相关 信息 ,并 立刻 识别 
和 分 享 供应 链 中 的 物品 数据 ,显著 地 提高 了 信息 的 透明 度 。 


4. RFID 中 间 件 的 发 展 


从 发 展 趋势 来 分 析 ,RFID 中 间 件 可 以 分 为 以 下 三 个 发 展 阶段 : 

1) 中 间 件 应 用 程序 阶段 

RFID 初期 的 发 展 ,多 以 整合 串 接 RFID 读 写 器 为 目的 。 在 这 个 阶段 ,RFID 生产 厂商 
一 般 都 主动 提供 简单 的 应 用 程序 接口 (API) , 供 企 业 将 后 端 系统 与 RFID 读 写 器 连接 。 从 
整体 发 展架 构 来 看 ,此 时 企业 的 导入 必须 自行 花费 许多 成 本 去 处 理 前 后 端 系统 的 连接 问题 。 
通常 ,企业 在 这 个 阶段 会 通过 试点 工程 方式 来 评估 成 本 效益 与 导入 的 关键 问题 。 

2) 中 间 件 架构 阶段 

中 间 件 架构 阶段 是 RFID 中 间 件 成 长 的 关键 阶段 。 由 于 RFID 的 强大 应 用 ,沃尔玛 与 
美国 国防 部 等 关键 使 用 机 构 相 继 进行 RFID 技术 的 规划 ,并 进行 导入 的 试点 工程 ,促使 大 型 
厂商 持续 关注 RFID 相关 市 场 的 发 展 。 在 这 个 阶段 , 随 着 RFID 中 间 件 的 发 展 , 它 不 但 已 经 
具备 基本 数据 收集 、 过 滤 等 功能 ,同时 也 满足 了 企业 多 对 多 的 连接 需求 ,并 且 具 备 平台 的 管 
理 和 维护 功能 。 

3) 中 间 件 解决 方案 阶段 

在 RFID 标签 . 读 写 器 与 中 间 件 的 发 展 成 熟 过 程 中 ,各 大 厂商 针对 不 同 领域 提出 了 各 项 
创新 应 用 解决 方案 。 例 如 , 曼 哈 特 联合 软件 公司 提出 了 RFID 一 盒子 解决 方案 (RFID in a 
box) ,企业 不 需要 再 为 前 端 RFID 的 硬件 与 后 端 应 用 系统 的 连接 而 烦恼 。 曼 哈 特 联合 软件 
公司 与 艾 邻 技术 公司 在 RFID 硬件 端 合 作 ,开发 了 以 Microsoft. Net 平台 为 基础 的 中 间 件 。 
原本 使 用 曼 哈 特 联合 软件 公司 供应 链 执行 解决 方案 的 900 多 家 企业 ,只 需要 通过 RFID 一 
盒子 解决 方案 ,就 可 以 在 原 有 应 用 系统 上 快速 利用 RFID 来 加 强 供应 链 管理 的 透明 度 。 
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5. RFID 中 间 件 技术 的 发 展现 状 


1) 国际 RFID 中 间 件 产品 的 发 展现 状 

最 早 提出 RFID 中 间 件 概念 的 国家 是 美国 。 美 国企 业 在 实施 RFID 项 目 改造 期 间 ,发 
现 最 耗 时 、 耗 力 、 复 杂 度 和 难度 最 高 的 问题 ,是 如 何 保证 RFID 数据 正确 导入 企业 的 管理 系 
统 。 为 此 企业 做 了 大 量 的 工作 用 于 保证 RFID 数据 的 正确 性 。 经 过 企业 与 研究 机 构 的 多 方 
研究 .论证 、 实 验 , 终 于 找到 了 一 个 比较 好 的 解决 方法 ,这 就 是 RFID 中 间 件 。 

目前 ,在 国际 上 比较 知名 的 RFID 中 间 件 厂商 ,有 IBM、 Oracle、Microsoft、SAP、Sun、 
Sybase、BEA 等 国际 知名 企业 。 由 于 这 些 软件 厂商 本 身 就 具备 比较 雄厚 的 技术 实力 ,其 开 
发 的 RFID 中 间 件 产品 又 经 过 实验 室 、 企 业 实 地 的 反复 测试 ,因此 ,这 些 RFID 中 间 件 产品 
的 稳定 性 、 先 进 性 、 海 量 数据 的 处 理 能 力 都 比较 完善 ,得 到 了 企业 的 广泛 认可 。 

(1) IBM RFID 中 间 件 。 

IBM RFID 中 间 件 是 一 套 基 于 Java 并 遵循 J2EE 企业 架构 开发 的 一 套 开放 式 RFID 中 
间 件 产品 ,可 以 帮助 企业 简化 实施 RFID 项 目的 步骤 ,能 满足 企业 处 理 海 量 货物 数据 的 要 
求 ; 基于 高 度 标准 化 的 开发 方式 ,IBM 的 RFID 中 间 件 产品 可 以 与 企业 信息 管理 系统 无 颖 
连接 ,有 效 缩短 企业 的 项 目 实施 周期 ,降低 了 RFID 项 目 实施 出 错 率 , 降 低 了 企业 的 实施 
成 本 。 

目前 IBM RFID 中 间 件 产品 已 经 成 功 应 用 于 全 球 第 四 大 零售 商 Metro 公司 的 供应 链 
之 中 ,不 仅 提高 了 整个 供应 链 商品 的 流转 速度 \ 减 少 了 产品 差错 率 ,还 提高 了 整个 供应 链 的 
服务 水 平 , 降 低 了 整个 供应 链 的 运营 成 本 。 此 外 ,还 有 约 80 多 家 供应 商 表示 ,将 与 IBM 公 
司 签订 采用 这 项 新 的 IBM WebSphere RFID 中 间 件 解决 方案 。 

为 了 进一步 提高 RFID 解决 方案 的 竞争 力 ,目前 IBM 与 Intermec 公司 进行 合作 ,将 
IBM RFID 中 间 件 成 功 地 租 入 Intermec 的 IF5 RFID 读 写 器 中 ,共同 向 企业 提供 一 整套 
RFID 企业 或 供应 链 解 决 方案 。 

(2) Oracle RFID 中 间 件 。 

Oracle RFID 中 间 件 是 甲骨 文公 司 着 眼 于 未 来 RFID 的 巨大 市 场 而 开发 的 一 套 基 于 
JAVA 遵循 J2EE 企业 架构 的 中 间 件 产品 。Oracle 中 间 件 依托 Oracle 数据 库 , 充 分 发 挥 
Oracle 数据 库 的 数据 处 理 优势 ,满足 企业 对 海量 RFID 数据 存储 和 分 析 处 理 的 要 求 。 
Oracle RFID 中 间 件 除 最 基本 的 数据 功能 外 ,还 向 用 户 提供 了 智能 化 的 手工 配置 界面 。 实 
施 RFID 项 目的 企业 可 根据 业务 的 实际 需求 ,手工 设 定 RFID 读 写 器 的 数据 扫描 周期 .相同 
数据 的 过 滤 周期 ,并 指定 RFID 中 间 件 将 电子 数据 导入 指定 的 服务 数据 库 , 并 且 企业 还 可 以 
利用 Oracle 提供 的 各 种 数据 库 工具 对 RFID 中 间 件 导入 的 货物 数据 进行 各 种 指标 数据 分 
析 ,并 做 出 准确 的 预测 。 

(3) Microsoft 的 RFID 中 间 件 。 

微软 公司 在 RFID 巨大 的 市 场面 前 自然 不 会 袖手旁观 ,投入 巨 资 组 建 了 RFID 实验 室 ， 
着 手 进行 RFID 中 间 件 和 REFID 平台 的 开发 .并 以 微软 SQL 数据 库 和 Windows 操作 系统 为 
依托 ,向 的 大 .中 、 小 型 企业 提供 RFID 中 间 件 企业 解决 方案 。 

与 其 他 软件 厂商 运行 的 JAVA 平台 不 同 . Microsoft 中 间 件 产品 主要 运行 于 微软 的 
Windows 系列 操作 平台 。 企 业 在 选用 中 间 件 技术 时 ,一 定 要 考虑 RFID 中 间 件 产品 与 自己 
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现 有 的 企业 管理 软件 的 运行 平台 是 否 兼容 。 

根据 微软 的 RFID 中 间 件 计划 ,微软 准备 将 RFID 中 间 件 产品 集成 为 Windows 平台 的 
一 部 分 ,并 专门 为 RFID 中 间 件 产品 的 数据 传输 进行 系统 级 的 网 络 优化 。 依 据 Windows 占 
据 的 全 球 市 场 份额 及 Windows 平台 优势 ,微软 的 RFID 中 间 件 产品 拥有 了 更 大 的 竞争 
优势 。 

(4) SAP 中 间 件 。 

SAP RFID 中 间 件 产品 也 是 基于 Java 语言 遵循 J]2EE 企业 架构 开发 的 产品 。SAP 
RFID 中 间 件 产品 具有 两 个 显著 的 特征 : 系列 化 产品 和 整合 中 间 件 。 首 先 ,SAP 的 RFID 中 
间 件 产品 是 系列 化 产品 ; 其 次 ,SAP 的 RFID 中 间 件 是 一 个 整合 中 间 件 , 它 可 以 将 其 他 厂商 
的 RFID 中 间 件 产品 整合 在 一 起 ,作为 SAP 整个 企业 信息 管理 系统 应 用 体系 的 一 部 分 进行 

SAP RFID 的 中 间 件 产品 主要 包括 : SAP 自动 身份 识别 基础 设施 软件 .SAP 事件 管理 
软件 和 SAP 企业 门户 。 为 增强 SAP RFID 中 间 件 的 企业 竞争 力 , SAP 又 联合 Sun 和 
Sybase, 将 这 两 家 的 RFID 中 间 件 产品 整合 到 SAP 的 中 间 件 产品 中 。 与 Sybase 的 RFID 安 
全 中 间 件 整合 ,大 大 提高 了 SAP 中 间 件 数据 传输 的 安全 性 ; 与 Sun 的 RFID 中 间 件 结合 ， 
则 使 得 SAP 中 间 件 的 功能 得 到 了 极 大 的 扩展 。 

SAP 的 企业 用 户 大 多 数 是 世界 500 强 企业 ,原来 已 经 采用 SAP 的 管理 系统 。 这 些 企 
业 实施 RFID 项 目的 规模 一 般 都 比较 大 ,对 相关 软件 和 硬件 的 性 能 要 求 也 比较 高 。 这 些 企 
业 实 施 RFID 项 目 改造 ,应 用 SAP 提供 的 RFID 中 间 件 技术 可 以 和 SAP 的 管理 系统 实现 无 
颖 集成 ,能 为 企业 节省 大 量 的 软件 测试 时 间 、 软 件 的 集成 时 间 , 有 效 缩短 了 RFID 项 目 实施 
步骤 和 时 间 。 

(5) Sun 的 RFID 中 间 件 。 

Sun 公司 开发 的 JAVA 语言 ,目前 被 广泛 应 用 于 开发 各 种 企业 级 的 管理 软件 。 目 前 ， 
Sun 公司 根据 市 场 需求 ,利用 JAVA 在 企业 的 应 用 优势 开发 的 RFID 中 间 件 ,也 具有 独特 的 
技术 优势 。 

Sun 公司 开发 的 RFID 中 间 件 产品 从 1.0 版 本 开始 ,经 历 了 较 长 时 间 的 测试 , 随 着 产品 
不 断 完善 ,已 经 完全 达到 了 设计 要 求 。 随 着 RFID 标准 Gen 2.0 的 推出 ,目前 Sun 中 间 件 已 
推出 了 2. 0 版 本 ,实现 了 RFID 中 间 件 对 Gen 2.0 版 本 的 全 面 支持 和 中 央 系 统管 理 。 

其 中 间 件 分 为 事件 管理 器 和 信息 服务 器 两 个 部 分 。 事件 管 理 器 用 来 帮助 处 理 通过 
RFID 系统 收集 的 信息 或 依照 客户 的 需求 筛选 信息 ; 信息 服务 器 用 来 得 到 和 存储 使 用 RFID 
技术 生成 的 信息 ,并 将 这 些 信息 提供 给 供应 链 管理 系统 中 的 软件 系统 。 

由 于 Sun 公司 在 RFID 中 间 件 系统 中 集成 了 Jini 网 络 工 具 , 有 新 的 RFID 设备 接 入 网 
络 时 ,立刻 能 被 系统 自动 发 现 并 集成 到 网 络 中 ,实现 新 设备 数据 的 自动 收集 。 这 一 功能 在 储 
存 库 环境 中 是 非常 实用 的 。 

为 了 进一步 扩大 Sun RFID 中 间 件 产品 的 影响 力 ,Sun 公司 已 经 与 SAP 等 几 家 厂商 组 
建 了 RFID 中 间 件 联盟 ,将 各 个 厂家 的 RFID 中 间 件 产品 整合 到 一 起 ,利用 各 自 的 企业 资 
源 ,进行 RFID 中 间 件 产品 推广 工作 。 

(6) Sybase 中 间 件 。 

Sybase 原来 是 一 家 数据 库 公 司 ,其 开发 的 Sybase 数据 库 在 20 世纪 80 一 90 年 代 曾 辉煌 
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一 时 。 在 收购 Xcellenet 公司 后 ,Sybase 公司 正式 介入 RFID 中 间 件 领域 ,并 开始 使 用 
Xcellenet 公司 技术 开发 RFID 中 间 件 产品 。 

Sybase 中 间 件 包括 Edgeware 软件 套件 .RFID 业务 流程 .集成 和 监控 工具 。 该 工具 采 
用 基于 网 络 的 程序 界面 ,将 RFID 数据 所 需要 的 业务 流程 映射 到 现 有 企业 的 系统 中 。 客 户 
可 以 建立 独 有 的 规则 ,并 根据 这 些 规则 监控 实时 事件 流 和 RFID 中 间 件 取得 的 信息 数据 。 

Sybase 中 间 件 的 安全 套件 被 SAP 看 中 ,被 SAP 整合 进 SAP 企业 应 用 系统 ,双方 还 签 
订 了 RFID 中 间 件 联盟 协议 ,利用 双方 资源 共同 推广 RFID 中 间 件 的 企业 RFID 解决 方案 。 

(7) BEA 的 RFID 中 间 件 。 

BEA RFID 中 间 件 是 目前 RFID 中 间 件 领域 最 具 竞 争 力 的 产品 之 一 。 尤 其 是 在 2005 
年 BEA 收购 了 RFID 中 间 件 技术 领域 的 领先 厂商 ConnecTerra 公司 之 后 ,ConnecTerra 的 
中 间 件 整合 进 BEA 的 中 间 件 产品 ,使 BEA 的 RFID 中 间 件 功能 得 到 极 大 的 扩展 。BEA 可 
以 向 企业 提供 完整 的 一 揽 子 产品 解决 方案 ,帮助 企业 方便 地 实施 RFID 项 目 , 帮 助 客户 处 理 
从 供应 链 上 获取 的 日 益 庞 大 的 RFID 数据 。 

BEA 公司 的 RFID 解决 方案 由 以 下 四 个 部 分 构成 。 

OOD BEA WebLogic RFID Edition: 先进 的 EPC 中 间 件 ,支持 多 达 12 个 读 写 器 提供 商 
的 主流 读 写 器 ,支持 EPC Class0.0 十 ,1,ISO15693,ISO18000-6Bv1. 19EPC,GEN2 等 规格 
的 电子 标签 ; 

@ BEA WebLogic Enterprise Platform: 专门 为 构建 面向 服务 型 企业 解决 方案 而 设计 
的 统一 的 、 可 扩展 的 应 用 基础 架构 ; 

@ BEA RFID 解决 方案 工具 箱 : 是 实施 RFID 解决 方案 的 加 速 器 ,包含 快速 配置 和 前 
署 RFID 应 用 系统 所 必需 的 代码 文档 和 最 佳 实践 路 线 。 主 要 内 容 包 括 事件 模型 框架 .消息 
总 线 架 构 、 预 置 的 portlet 等 ; 

@ 为 开发 .配置 和 部 署 该 解决 方案 提供 帮助 的 咨询 服务 。 该 解决 方案 可 以 为 客户 实施 
RFID 应 用 提供 完整 的 基础 架构 ,用户 可 以 围绕 RFID 进行 业务 流程 创新 ,开发 新 的 应 用 ,从 
而 提高 RFID 项 目 投资 的 回报 率 。 

目前 ,BEA 已 成 为 基于 标准 的 端 到 端 RFID 基础 设施 一 一 从 获取 原始 的 RFID 事件 , 直 
到 把 这 些 事 件 转 换 成 重要 的 商业 数据 的 厂家 。 

2) 中 国 RFID 中 间 件 的 发 展现 状 

RFID 技术 进入 中 国 的 时 间 比 较 短 ,各 方面 的 工作 还 处 于 起 步 阶段 。 虽 然 中 国政 府 在 
国家 十 一 五 规划 和 863 计划 中 ,对 RFID 应 用 提供 了 政策 、 项 目 和 资金 的 支持 ,并 且 RFID 
在 国内 的 发 展 也 较为 迅速 ,但 是 与 国际 先进 技术 的 发 展 相 比 ,在 很 多 方面 还 存在 明显 的 
差距 。 

中 国 在 RFID 中 间 件 和 公共 服务 方面 已 经 开展 了 一 些 工作 。 依 托 国家 863 计划 “无 线 
射频 关键 技术 研究 与 开发 "课题 ,中 科 院 自动 化 所 开发 了 RFID 公共 服务 体系 基础 架构 软件 
和 血液 、 食 品 、 药 品 可 追溯 管理 中 间 件 ; 华中 科技 大 学 开发 了 支持 多 通信 平台 的 RFID 中 间 
件 产品 Smarti; 上 海 交通 大 学 开发 了 面向 商业 物流 的 数据 管理 与 集成 中 间 件 平台 。 此 外 ， 
国内 产品 还 包括 东方 励 格 公司 的 LYNKO-ALE 中 间 件 、 清 华 同方 的 ezRFID 中 间 件 、 
ezONE .ezFramework 基础 应 用 套件 等 。 

目前 ,虽然 中 国 已 经 有 了 一 些 初 具 规 模 的 RFID 中 间 件 产品 ,但 大 多 数 都 还 没有 在 企业 
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进行 实际 应 用 测试 ,与 国外 的 RFID 中 间 件 产品 相 比 , 尚 处 于 实验 室 阶 段 。 相 对 于 国外 经 历 
了 很 长 时 间 企 业 实际 测试 的 成 熟 的 RFID 中 间 件 产品 ,我国 的 RFID 产品 还 有 较 大 的 差距 。 
国内 的 相关 企业 和 研发 机 构 应 尽快 完成 RFID 中 间 件 产品 的 企业 测试 ,完善 RFID 中 间 件 
的 相关 功能 ,为 国内 中 小 企业 的 RFID 项 目 实 施 提 供 方 便 、 实 用 、 低 成 本 的 RFID 中 间 件 解 
决 方 案 。 

如 果 中 国 的 研发 机 构 能 够 赶 在 企业 开始 大 规模 实施 RFID 项 目 之 前 ,开发 出 完善 .成 
熟 , 可 靠 的 RFID 中 间 件 产品 ,加 上 天 时 、 地 利 、 人 和 ,成 本 等 优势 ,占据 中 国 国内 的 RFID 中 
间 件 市 场 是 完全 有 可 能 的 。 

通过 对 比 国内 外 RFID 中 间 件 的 实际 情况 ,不 难 发 现 ,国外 的 RFID 中 间 件 产品 发 展 的 
时 间 并 不 比 中 国 RFID 中 间 件 早 很 多 ; 只 要 中 国 的 RFID 研发 机 构 与 生产 厂商 奋起 直 追 , 依 
托 国 内 较 低 的 成 本 优势 、 众 多 优秀 的 软件 工程 师 和 技术 人 员 共 同 努力 ,在 短 时 间 内 完全 有 可 
能 开发 出 与 国外 的 同类 产品 相 匹 敌 的 RFID 中 间 件 产品 。 


6.2.4 RFID 中 间 件 安全 


物 联 网 是 一 个 在 互联 网 的 基础 上 ,结合 RFID 技术 和 传感器 技术 构建 的 连接 范围 更 为 
广阔 的 网 络 。 因 此 , 物 联网 安全 既 包 括 当 前 互联 网 的 安全 问题 ,又 包括 RFID 和 传感器 技术 
特有 的 安全 问题 。 由 于 物 联 网 感知 识别 层 中 大 量 应 用 RFID 标签 和 无 线 传感器 ,因此 物 联 
网 特有 的 安全 问题 ,主要 是 RFID 系统 安全 和 无 线 传感器 网 络 安全 。RFID 标签 中 保存 着 个 
人 私密 信息 , 随 着 定位 技术 的 发 展 ,假如 RFID 标签 受到 跟踪 、 定 位 ,或 者 个 人 私密 信息 受到 
窃取 ,就 会 对 用 户 的 隐私 造成 伤害 。 


1. 中 间 件 安全 设计 原则 


RFID 中 间 件 的 设计 ,要 遵循 功能 全 面 、 容 易 设 计 、 便 于 维护 .具有 良好 的 扩展 性 和 可 移 
植 性 的 原则 。 设 计 RFID 中 间 件 至 少 要 解决 以 下 儿 个 问题 。 

(1) 屏蔽 下 层 硬件 ,兼容 不 同 的 RFID 读 写 器 。 

不 同 生产 厂家 的 硬件 设备 在 读 取 频 率 、 支 持 协议 . 读 写 范围 、 防 冲突 性 能 等 方面 有 所 差 
异 。 因 此 屏蔽 物理 设备 的 差异 ,能 方便 地 进行 集成 扩展 ,这 是 RFID 中 间 件 应 具有 的 特点 。 

(2) 对 硬件 设备 进行 统一 管理 。 

对 硬件 设备 进行 统一 管理 ,包括 打开 、 关 闭 ,获取 设备 参数 ,发 出 读 取 指 令 缓存 标签 、 定 
义 逻 辑 阅 读 器 等 ,使 上 层 的 软件 感觉 不 到 设备 的 差异 ,提供 透明 的 硬件 服务 。 

(3) 对 数据 流 进行 过 滤 和 分 组 。 

安全 中 间 件 必须 采用 特定 的 算法 和 数据 结构 ,过 滤 和 剔除 用 户 不 感 兴趣 的 大量 的 、 寻 
复 的 .无 规则 的 数据 ,和 否则, 大量 的 垃圾 数据 流入 上 层 , 对 企业 应 用 程序 将 是 一 个 沉重 的 负 
担 ,甚至 会 造成 上 层 应 用 程序 崩溃 。 

(4) 数据 接收 和 数据 格式 转换 。 

中 间 件 要 接收 来 自 RFID 设备 的 标签 数据 ,并 向 上 层 传输 。 由 于 数据 标签 编码 方式 多 
种 多 样 ,规范 标准 不 统一 ,如 果 不 进 行 数据 格式 处 理 , 将 会 导致 数据 混乱 ,难以 识别 。 

(5) 中 间 件 的 安全 问题 。 

电子 标签 的 安全 和 隐私 问题 ,制约 着 EPC 技术 的 发 展 和 应 用 。RFID 系统 在 进行 数据 
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采集 和 数据 传输 时 ,电子 标签 和 读 写 器 容易 受到 信号 的 干扰 ,再 加 上 电子 标签 容易 被 跟踪 和 
定位 ,侵犯 个 人 隐私 ,因此 安全 问题 不 可 避免 。 

(6) 与 企业 应 用 程序 的 通信 。 

企业 应 用 程序 具有 自己 特定 的 数据 格式 ,采用 何 种 方式 与 中 间 件 进行 交互 ,并 且 高 效 地 
实现 中 间 件 与 应 用 程序 之 间 的 数据 交换 ,也 是 中 间 件 需要 解决 的 重要 问题 。 


2. 通用 的 中 间 件 安全 模型 


针对 中 间 件 的 安全 需求 ,中 国学 者 吴 景 阳 和 母国 庆 等 提出 了 一 种 通用 的 中 间 件 安全 模 
式 。 由 于 针对 中 间 件 层 的 特点 进行 分 析 ,他 们 认为 访问 控制 的 实现 依赖 于 引用 监视 器 和 访 
问 策略 的 所 在 位 置 和 实施 。 因 此 ,可 以 根据 安全 迎 辑 的 实现 ,将 引用 监视 器 的 功能 分 成 决策 
和 执行 两 部 分 。 

1) 决策 部 分 

决策 部 分 根据 访问 策略 来 决定 一 个 主体 是 否 具有 权限 来 访问 它 所 请 求 的 客体 资源 , 采 
用 决策 机 制 可 以 是 自主 访问 控制 ,也 可 以 是 强制 访问 控制 ,或 者 是 其 他 机 制 。 

2) 执行 部 分 

执行 部 分 接受 主体 的 访问 请 求 ,该 请 求 是 通过 下 层 传送 上 来 的 ,由 执行 部 分 负责 将 该 请 
求 传递 给 中 间 层 中 的 决策 部 分 ,并 将 执行 结果 返回 决策 部 分 。 执 行 部 分 根据 此 决策 来 执行 
相应 的 动作 ,如 果 访 问 被 允许 , 则 根据 访问 请 求 将 主体 的 请 求 信息 传送 给 目标 对 象 。 如 果 需 
要 的 话 , 可 能 还 要 调用 中 间 件 的 其 他 部 件 ,执行 某 些 特定 的 功能 ,如 事务 处 理 、 数 据 库 访 
问 等 。 


通用 中 间 件 安全 模式 如 图 6-11 所 示 。 


目标 对 象 目标 对 象 应 用 层 


访问 决定 


执行 部 分 ”| 决策 部 分 安全 中 间 件 层 
i 访问 请 求 “一 一 一 一 一 
kh 访问 请 
硬件 设备 上-------- 硬件 设备 底层 技术 层 


图 6-11 通用 中 间 件 安全 模式 


从 图 6-11 中 可 以 看 出 ,决策 部 分 给 目标 对 象 提供 了 接口 ,用 于 目标 对 象 的 注册 。 这 是 
供应 层 对 象 调用 的 ,用 于 获得 目标 对 象 的 相关 信息 ,从 而 提供 安全 策略 ,以 辅助 决策 部 分 实 
现 其 功能 。 这 个 接口 的 实现 ; 一 方面 有 效 地 解决 了 对 于 应 用 层 目 标 对 象 特定 信息 的 访问 控 
制 ; 另 一 方面 也 是 该 模型 对 于 应 用 层 灵活 性 的 体现 ,可 以 很 容易 地 满足 不 同 应 用 中 不 同 的 
目标 对 象 所 要 求 的 安全 机 制 。 
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3. 基于 中 间 件 的 物 联 网 安全 模型 


中 国学 者 姚 远 在 2011 年 提出 了 一 个 基于 中 间 件 的 物 联 网 安全 模型 ,认为 物 联 网 安全 问 
题 要 从 三 个 方面 进行 保护 , 即 存储 信息 安全 问题 .传输 安全 问题 和 设备 安全 问题 。 
一 般 来 说 ,中 间 件 的 设计 应 遵循 整体 的 分 层 原则 ,中 间 件 的 设计 框架 如 图 6-12 所 示 。 


RFID 应 用 系统 或 通信 集中 器 应 用 系统 应 用 层 


物 联 网 中 间 件 业务 开发 层 


RFID Platform Hardware Network Control 
Library Library Library Library Library 中 间 件 
SDK SDK SDK SDK SDK 
中 间 件 安全 沙 箱 层 
物 联网 中 间 件 移植 层 
:系统 和 驱动 程序 
操作 系统 和 驱动 程序 硬件 和 


1 操作 
nd + 其 他 i 
单片机 ARM7/9 | | AVR 单 片 机 DSP PowerPC 硬件 系统 层 
图 6-12 中间 件 框图 


自 下 向 上 的 第 一 层 , 是 包含 各 种 不 同 设备 的 硬件 。 这 一 部 分 的 差异 较 大 ,从 低 端的 单 片 
机 到 高 端的 DSP 数字 信号 处 理 器 或 者 PowerPC 通信 处 理 器 都 会 出 现在 这 一 层 。 

自 下 向 上 的 第 三 层 , 是 运行 于 各 种 硬件 之 上 的 软件 环境 层 ,这 一 部 分 的 差异 较 硬 件 层 
小 ,通常 由 Linux 和 Windows CE 等 各 种 移动 终端 操作 系统 和 驱动 程序 组 成 ,其 功能 类 似 。 

在 图 6-12 中 ,中 间 最 大 的 一 块 区 域 是 中 间 件 的 实际 范围 。 

1) 移植 层 

移植 层 用 作 屏 蔽 底层 差异 ,实现 中 间 件 的 统一 实施 接口 ,同时 也 是 平台 的 主要 功能 的 体 
现 接口 。 一 般 来 说 移植 层 的 各 种 软 硬 件 分 别 实现 各 自 不 同 的 功能 ,其 接口 包括 线程 或 任务 
移植 接口 .显示 移植 接口 ,网 络 和 通信 移植 接口 .平台 控制 和 属性 移植 接口 、RFID 读 写 移植 
接口 等 。 

2) 安全 沙 箱 层 

中 间 件 的 关键 模块 是 中 间 件 安全 沙 箱 层 ,其 内 部 包含 多 种 执行 模块 ,如 RFID 模块 、 通 
信和 模块 和 硬件 控制 模块 等 ,所 有 的 模块 统一 位 于 一 个 安全 沙 箱 中 。 该 安全 沙 箱 可 以 保证 通 
信 协 议和 远程 控制 对 本 地 资源 的 安全 访问 。 

沙 箱 (Sandbox) 模 型 是 一 种 保护 本 机 安全 的 虚拟 技术 。 利 用 沙 箱 技 术 , 可 以 将 系统 关 
键 数 据 进 行 虚拟 化 映射 。 外 界 对 数据 的 获取 和 修正 首先 在 沙 箱 映射 层 中 实现 。 只 有 经 过 严 
格 的 授权 才能 访问 底层 实际 硬件 和 资源 ,因此 保证 了 设备 本 身 不 会 受到 病毒 或 恶意 程序 的 
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攻击 造成 崩溃 。 中 间 件 中 使 用 此 模型 时 ,通过 远程 调用 和 通信 协议 执行 的 一 般 信 令 ,不 可 能 
访问 真正 的 硬件 设备 资源 。 但 是 由 于 沙 箱 中 的 关键 数据 与 系统 中 的 数据 时 刻 保 持 同 步 , 沙 
箱 模型 并 不 会 影响 获取 数据 的 实时 人 性。 

3) 业务 开发 层 

中 间 件 的 最 上 层 是 业务 开发 层 .该 层 提供 给 本 地 或 远程 应 用 程序 调用 ,以 实现 相应 的 业 
务 功能 。 其 接口 设计 一 般 包 含 物 联网 设备 的 控制 ,信息 读 写 .通信 、 显 示 、 授 权 认 证 等 通用 接 
口 ,并 将 这 些 模块 的 实现 映射 到 安全 沙 箱 中 解析 或 执行 。 

物 联网 中 间 件 从 以 下 三 个 方面 建立 一 个 通用 的 安全 模型 : 使 用 安全 沙 箱 保 证 只 有 明确 
授权 的 应 用 程序 才 可 以 访问 底层 资源 ; 支持 基于 SSL .TSL 和 VPN 等 加 密 通 道 传 输 信 息 ; 
使 用 基于 X509 证 书 的 授权 方式 保证 终端 和 设备 授权 认证 的 通过 。 

中 间 件 支持 通过 插件 模式 挂 接 不 同 的 通信 适 配 组 件 , 如 SSL 安全 层 或 TSL 传输 安全 
层 , 也 可 以 配置 及 挂 载 VPN 通道 ,实现 数据 的 安全 传输 。 传 统 的 网 络 层 加 密 机 制 是 逐 跳 加 
密 , 即 信息 在 发 送 过 程 中 和 传输 过 程 中 是 加 密 的 ,但 是 在 每 个 结 点 处 却 没有 加 密 。 


6.3 数据 安全 


6.3.1 数据 安全 概述 
1. 数据 安全 的 定义 


数据 安全 也 称 为 数据 信息 安全 ,是 指数 据 在 产生 ,传输 、 处 理 , 存 储 等 过 程 中 的 安全 。 换 
句 话说 ,数据 信息 安全 是 指数 据 信息 不 受 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 、 汇 露 , 系 
统 连续 、 可 靠 、 正 常 地 运行 ,数据 信息 服务 不 中 断 。 数 据 信 息 安 全 是 一 门 涉 及 计算 机 科学 、 网 
络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 、 应 用 数学 、 数 论 、 信 息 论 等 多 种 学 科 的 综合 性 学 
科 。 数 据 信息 安全 包括 的 范围 很 广 , 大 到 国家 军事 政治 等 机 密 安全 ,小 到 如 防范 商业 企业 机 
密 泄露 个 人 数据 信息 的 泄露 等 。 

进入 网 络 时 代 后 ,数据 信息 安全 保障 工作 的 难度 大 大 提高 。 我 们 受到 日 益 严重 的 来 自 
网 络 的 安全 威胁 ,诸如 网 络 的 数据 窃贼 ,黑客 的 侵袭 、 病 毒 发 布 者 ,甚至 系统 内 部 的 泄密 者 。 
数据 信息 安全 已 经 成 为 各 行业 信息 化 建设 中 的 首要 问题 。 

随 着 “互联 网 十 ”时 代 的 到 来 ,数据 信息 安全 工作 更 是 难 上 加 难 。 据 数据 信息 安全 专家 
称 , 现 有 的 搜索 引擎 已 经 有 能 力 在 15 分 钟 内 将 全 世界 的 网 页 存储 一 遍 。 换 句 话说 ,无 论 用 
加 密 账 号 ,还 是 所 谓 的 公司 内 网 。 只 要 你 的 信息 被 数据 化 ,并 与 互联 网 接 通 ,信息 就 已 经 自 
动 进入 失控 状态 ,你 将 永远 无 法 删除 它 ,并 且 无 从 保密 。 

数据 信息 安全 从 来 没有 变 得 让 人 如 此 不 安 。 数 据 信 息 安 全 技术 作为 一 个 独特 的 领域 越 
来 越 受 到 各 个 行业 的 关注 。 

根据 国际 标准 化 组 织 的 定义 ,数据 安全 的 含义 主要 是 指数 据 信息 的 完整 性 ` 可 用 性 、 保 
密 性 和 可 靠 性 。 信 息 安 全 的 内 涵 在 不 断 地 延伸 ,从 最 初 的 数据 信息 保密 性 发 展 到 数据 信息 
的 完整 性 、. 可 用 性、 可 控 性 和 不 可 否认 性 ,进而 又 发 展 为 “ 攻 ( 攻 击 )、 防 (防范 ) 测 (检测 )、 控 
(控制 )、 管 (管理 ), 评 (评估 ) ?等 多 方面 的 基础 理论 和 实施 技术 。 
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数据 安全 的 实质 就 是 要 保护 信息 系统 或 信息 网 络 中 的 数据 资源 免 受 各 种 类 型 的 威胁 、 
干扰 和 破坏 , 即 保证 数据 的 安全 性 。 


2. 数据 安全 的 要 素 


数据 安全 的 要 素 体现 在 以 下 6 个 方面 。 

1) 保密 性 

保密 性 (Secrecy) ,又 称 机 密 性 ,是 指 个 人 或 团体 的 信息 不 被 其 他 不 应 获得 者 获得 。 在 
电脑 中 ,许多 软件 包括 邮件 软件 、 网 络 浏览 器 等 ,都 有 保密 性 相关 的 设 定 , 用 以 维护 用 户 资料 
的 保密 性 ,另外 间谍 档案 或 黑客 也 有 可 能 会 造成 保密 性 的 问题 。 

2) 完整 性 

数据 的 完整 性 (Integrity) 也 称 为 可 延展 性 (Malleably) ,是 信息 安全 的 三 个 基本 要 点 之 
一 , 它 是 指 在 传输 、 存 储 信息 或 数据 的 过 程 中 ,确保 信息 或 数据 不 被 未 授权 的 算 改 或 在 自 改 
后 能 够 被 迅速 发 现 。 在 信息 安全 领域 使 用 过 程 中 ,常常 和 保密 性 边界 混淆 。 以 普通 RSA 对 
数值 信息 加 密 为 例 , 黑 客 或 恶意 用 户 在 没有 获得 密 钥 破解 密 文 的 情况 下 ,可 以 通过 对 密 文 进 
行 线性 运算 ,相应 改变 数值 信息 的 值 。 例 如 交易 金额 为 X 元 ,通过 对 密 文 乘 2, 可 以 使 交易 
金额 成 为 2X。 为 解决 以 上 问题 ,通常 使 用 数字 签名 或 散 列 函 数 对 密 文 进行 保护 。 

3) 可 用 性 

数据 的 可 用 性 (Availability) 是 一 种 以 使 用 者 为 中 心 的 设计 概念 , 易 用 性 设计 的 重点 在 
于 让 产品 的 设计 能 够 符合 使 用 者 的 习惯 与 需求 。 以 互联 网 网 站 的 设计 为 例 , 希 望 让 使 用 者 
在 浏览 的 过 程 中 不 会 产生 压力 或 感到 挫折 ,并 能 让 使 用 者 在 使 用 网 站 功能 时 ,能 用 最 少 的 努 
力 发 挥 最 大 的 效能 。 

4) 可 控 性 

可 控 性 (Controllability) 是 指 授权 机 构 可 以 随时 控制 信息 的 机 密 性 .“ 密 钥 托管 "“ 密 
钥 恢复 ”等 措施 就 是 实现 信息 安全 的 可 控 性 例子 。 

5) 可 靠 性 

可 靠 性 (Reliability) 是 指 信息 能 够 在 规定 条 件 下 和 规定 时 间 内 完成 规定 操作 的 特性 。 
可 靠 性 是 信息 安全 的 最 基本 要 求 之 一 。 

6) 不 可 抵赖 性 

不 可 抵赖 性 也 称 不 可 否认 性 (Non-repudiation) ,是 指 在 信息 交互 过 程 中 ,确信 参加 者 的 
真实 同一 性 。 即 所 有 参与 者 都 不 可 能 否认 或 抵赖 曾经 完成 的 操作 和 承诺 。 利 用 信息 源 证 据 
可 以 防止 发 信 方 不 真实 地 否认 已 发 送信 息 ,利用 递交 接收 证 据 可 以 防止 收 信 方 事后 否认 已 
经 接受 的 信息 。 


3. 威胁 数据 安全 的 因素 


威胁 数据 安全 的 因素 有 很 多 ,比较 常见 的 主要 有 以 下 几 个 方面 。 

1) 存储 设备 损坏 

存储 设备 的 物理 损坏 意味 着 数据 丢失 。 设 备 的 运行 损耗 .存储 介质 失效 .运行 环境 以 及 
人 为 的 破坏 等 ,都 能 给 存储 设备 造成 影响 。 
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2) 人 为 错误 

由 于 操作 失误 ,使 用 者 可 能 会 误 删除 系统 的 重要 文件 ,或 者 修改 影响 系统 运行 的 参数 ， 
以 及 没有 按照 规定 要 求 或 操作 不 当 导致 的 系统 宕 机 。 

3) 黑客 

当 人 入侵 时 ,黑客 通常 通过 网 络 远程 入 侵 系统 ,侵入 途径 包括 系统 漏洞 .管理 不 力 等 。 

4) 病毒 

由 于 感染 计算 机 病毒 而 使 计算 机 系统 受到 破坏 ,造成 的 重大 经 济 损失 的 事件 屡屡 发 生 ， 
计算 机 病毒 的 复制 能 力 强 , 感 染 性 强 , 特 别 是 网 络 环境 下 ,传播 更 快 。 

5) 数据 信息 窃取 

从 计算 机 上 复制 删除 数据 信息 甚至 直接 把 计算 机 偷 走 。 


4. 数据 安全 制度 


数据 安全 制度 的 制订 ,一般 要 根据 国家 法 律 和 有 关 规 定制 订 适 合 本 单位 的 数据 安全 制 
度 ,大 致 情况 如 下 。 

(1) 对 应 用 系统 使 用 产生 的 介质 或 数据 , 按 其 重要 性 进行 分 类 ,对 存放 有 重要 数据 的 
介质 ,应 备份 必要 份 数 , 并 分 别 存放 在 不 同 的 安全 地 方 ( 防 火 、 防 高 温 、 防 震 、 防 磁 、 防 静电 及 
防盗 ) ,建立 严格 的 保密 保管 制度 。 

(2) 保留 在 机 房 内 的 重要 数据 (介质 ) ,应 为 系统 有 效 运行 所 必需 的 最 少数 量 , 除 此 之 外 
不 应 保留 在 机 房 内 。 

(3) 根据 数据 的 保密 规定 和 用 途 , 确 定 使 用 人 员 的 存 取 权限 、 存 取 方 式 和 审批 手续 。 

(4) 重要 数据 (介质 ) 库 ,应 设 专人 负责 登记 保管 ,未 经 批准 ,不 得 随意 挪用 重要 数据 (介质 )。 

(5) 在 使 用 重要 数据 (介质 ) 期 间 ,应 严格 按 国家 保密 规定 控制 转借 或 复制 ,需要 使 用 或 
复制 的 须 经 批准 。 

(6) 对 所 有 重要 数据 (介质 ) 应 定期 检查 ,要 考虑 介质 的 安全 保存 期 限 , 及 时 更 新 复制 。 
损坏 废弃 或 过 时 的 重要 数据 (介质 ) 应 由 专人 负责 处 理 , 秘 密级 以 上 的 重要 数据 (介质 ?在 过 
保密 期 或 废弃 不 用 时 ,要 及 时 销毁 。 

(7) 机 密 数 据 处 理 作 业 结束 时 ,应 及 时 清除 存储 器 、 联 机 磁带 、 磁 盘 及 其 他 介质 上 有 关 
作业 的 程序 和 数据 。 

(8) 机 密级 及 以 上 秘密 信息 存储 设备 不 得 并 和 互联网。 重要 数据 不 得 外 泄 , 重 要 数据 
的 输入 及 修改 应 由 专人 来 完成 。 重 要 数据 的 打印 输出 及 外 存 介 质 应 存放 在 安全 的 地 方 , 打 
印 出 的 废 纸 应 及 时 销毁 。 


5. 数据 技术 


1) 密码 理论 

密码 理论 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 研 究 密码 变化 的 客观 规律 ,并 将 该 
规律 应 用 于 编制 密码 以 保守 通信 秘密 ,我 们 称 为 编码 学 ; 应 用 于 破译 密码 以 获取 通信 情报 ， 
我 们 称 为 破译 学 ,二 者 总 称 密码 学 。 

2) 数据 加 密 

数据 加 密 技术 是 最 基本 的 网 络 安全 技术 ,被 称 为 信息 安全 的 核心 。 最 初 主要 用 于 保证 
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数据 在 存储 和 传输 过 程 中 的 保密 性 ,主要 是 通过 各 种 方法 将 被 保护 信息 置换 成 密 文 ,然后 再 
进行 信息 的 存储 或 传输 ,即使 加 密 信 息 在 存储 或 传输 过 程 为 非 授权 人 员 所 获得 ,也 可 以 保证 
这 些 信 息 不 为 其 认 知 ,从 而 达到 保护 信息 的 目的 。 该 方法 的 保密 性 直接 取决 于 所 采用 的 密 
码 算法 和 密 钥 长 度 。 

3) 认证 

相互 认证 是 客户 机 和 服务 器 相互 识别 的 过 程 ,它们 的 识别 号 使 用 公开 密 钥 编码 ,并 在 
SSL 握手 时 交换 各 自 的 识别 号 。 为 了 验证 持 有 者 是 其 合法 用 户 , 而 不 是 冒名 用 户 ,，SSL 要 
求证 明 持 有 者 在 握手 时 对 交换 数据 进行 数字 式 标识 。 证 明 持 有 者 要 对 包括 证 明 的 所 有 信息 
数据 进行 标识 ,以 说 明 自 己 是 证 明 的 合法 拥有 者 ,这 样 就 防止 了 其 他 用 户 冒 名 使 用 证 明 。 证 
明 本 身 并 不 提供 认证 ,只 有 证 明和 密 钥 一 起 才 起 作用 。 

4) 授权 与 访问 控制 

为 了 防止 非法 用 户 使 用 系统 及 合法 用 户 对 系统 资源 的 非法 使 用 ,需要 对 计算 机 系统 实 
体 进行 访问 控制 。 对 实体 系统 的 访问 控制 必须 对 访问 者 的 身份 实施 一 定 的 限制 ,这 是 保证 
系统 安全 所 必需 的 。 要 解决 上 述 问 题 , 访 问 控 制 需 采 取 下 述 两 种 措施 。 

(1) 识别 与 验证 访问 系统 的 用 户 。 

(2) 决定 用 户 对 某 一 系统 资源 可 进行 何 种 访问 ( 读 、 写 、 修 改 、 运 行 等 )。 

5) 审计 追踪 

审计 追踪 是 指 对 安防 体系 、 策 略 、 人 和 流程 等 对 象 的 深入 细致 的 核查 ,目的 是 为 了 找 出 
安防 体系 中 的 薄弱 环节 并 给 出 相应 的 解决 方案 。 审 计 追 踪 的 基本 任务 有 两 项 : 首先 ,检查 
实际 工作 是 不 是 按照 现 有 规章 制度 去 办 事 的 ; 其 次 ,对 审计 步骤 进行 调整 和 编排 ,以 便 更 好 
地 判断 出 安防 事件 的 发 生地 点 或 来 源 。 

6) 网 间隔 离 与 访问 代理 

从 技术 上 来 讲 代 理 服 务 是 一 种 网 关 功 能 .但 它 的 逻辑 位 置 是 在 OSI 七 层 协议 的 应 用 
层 之 上 。 代 理 使 用 一 个 客户 程序 与 特定 的 中 间 结 点 链接 ,然后 中 间 结 点 与 期 望 的 服务 器 
进行 实际 链接 。 与 应 用 网 关 型 防火 墙 所 不 同 的 是 ,使 用 这 类 防火 墙 时 外 部 网 络 与 内 部 网 
络 之 间 不 存在 直接 连接 ,因此 ,即使 防火 墙 产 生 了 问题 ,外 部 网 络 也 无 法 与 被 保护 的 网 络 
连接 。 

7) 反 病 毒 技术 

计算 机 病毒 的 预防 、 检 测 和 清除 是 计算 机 反 病 毒 技 术 的 三 大 内 容 。 也 就 是 说 计算 机 病 
毒 的 防治 要 从 防毒 、 查 毒 和 解毒 三 方面 来 进行 ; 系统 对 于 计算 机 病毒 的 实际 防治 能 力 和 效 
果 也 要 从 防毒 能 力 、 查 毒 能 力 和 解毒 能 力 三 方面 来 评判 。 防 毒 是 指 根据 系统 特性 ,采取 相应 
的 系统 安全 措施 预防 病毒 侵入 计算 机 ; 查 毒 是 指 对 于 确定 的 环境 ,能 够 准确 地 报 出 病毒 名 
称 ; 解毒 是 指 根据 不 同类 型 病毒 对 感染 对 象 的 修改 ,并 按照 病毒 的 感染 特性 所 进行 的 恢复 ， 
该 恢复 过 程 不 能 破坏 未 被 病毒 修改 的 内 容 ,感染 对 象 包括 内 存 、. 引 导 区 ( 含 主 引导 区 )、 可 执 
行文 件 ,文档 文件 、 网 络 等 。 

(1) 防毒 能 力 是 指 预防 病毒 侵入 计算 机 系统 的 能 力 。 

(2) 查 毒 能 力 是 指 发 现 和 追踪 病毒 来 源 的 能 力 。 

(3) 解毒 能 力 是 指 从 感染 对 象 中 清除 病毒 ,恢复 被 病毒 感染 前 的 原始 信息 的 能 力 ; 解 
毒 能 力 应 用 解毒 率 来 评判 。 
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8) 入 侵 检 测 技 术 

入 侵 检测 技术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系 
统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 。 
入 侵 检 测 系统 能 够 识别 出 来 自 于 网 络 外 部 和 内 部 的 不 希望 有 的 活动 。 典 型 的 人 侵 检测 系统 
包括 下 述 三 个 功能 部 件 : 

(1) 提供 事件 记录 流 的 信息 源 。 

(2) 发 现 人 侵 迹 象 的 分 析 引 擎 。 

(3) 基于 分 析 引 擎 的 分 析 结果 产生 反映 的 响应 部 件 。 


6. 网 络 安全 技术 的 综合 利用 


数据 信息 安全 不 仅 是 单一 电脑 的 问题 ,也 不 仅 是 服务 器 或 路 由 器 的 问题 ,而 是 整体 网 络 
系统 的 问题 。 所 以 信息 安全 要 考虑 整个 网 络 系统 ,结合 网 络 系统 来 制定 合适 的 信息 安全 策 
略 。 由 于 网 络 安全 涉及 的 问题 非常 多 ,如 防 病毒 . 防 入侵 破坏 、 防 信息 盗窃 用户 身份 验证 
等 ,这 些 都 不 是 由 单一 产品 来 完成 ,也 不 可 能 由 单一 产品 来 完成 ,最 重要 的 是 ,各 种 各 样 的 单 
位 产品 堆砌 依然 无 法 给 予 数据 信息 安全 完整 的 保护 。 数 据 信息 安全 也 必须 从 整体 策略 来 考 
上 处, 采用 功能 完善 ,技术 强大 的 数据 信息 安全 保障 系统 ,例如 SD-DSM 系统 等 。 这 也 是 欧美 
国家 近 几 年 来 数据 信息 安全 技术 领域 研发 的 方向 。 


6.3.2 数据 保护 


1. 数据 保护 的 概念 


数据 保护 既是 保证 数据 可 用 性 ,同样 是 保证 业务 连续 性 。 数 据 保护 的 核心 是 建立 和 使 
用 数据 副本 的 技术 。 

随 着 互联 网 的 发 展 ,各 企业 、 政 府 部 门 经 历 了 数据 量 的 爆炸 性 增长 ,数据 正 日 益 成 为 实 
际 的 资产 ,对 任何 组 织 来 说 ,数据 丢失 都 会 带 来 严重 的 后 果 , 甚 至 是 灾难 。 

美国 明尼苏达 大 学 的 研究 报告 指出 : 如 果 在 发 生 数据 丢失 灾难 后 的 两 个 星期 内 ,无 法 
恢复 公司 的 业务 系统 ,75% 的 公司 业务 将 会 完全 停顿 ,43% 的 公司 将 再 也 无 法 开业 。 


2. 衡量 数据 保护 的 重要 标准 


衡量 数据 保护 的 重要 标准 有 两 个 : 

(1) 恢复 时 间 目 标 (Recovery Time Object,RTO) ,是 指 信息 系统 从 灾难 状态 恢复 到 可 
运行 状态 所 需要 的 时 间 , 用 来 衡量 容 灾 系 统 的 业务 恢复 能 力 。 

(2) 恢复 点 目标 (Recovery Point Object,RPO) ,是 指 业务 系统 所 允许 的 在 灾难 过 程 中 
的 最 大 数据 丢失 量 ,用 来 衡量 容 灾 系统 的 数据 元 余 备 份 能 力 。 


3. 数据 保护 技术 实现 的 层次 与 分 类 


数据 保护 技术 涉及 设备 网络、 系统 和 应 用 四 个 层次 。 在 设备 层 ,主要 有 备份 和 复制 技 
术 ; 在 网 络 层 , 随 着 对 备份 系统 容量 和 速度 的 需求 越 来 越 高 , 附 网 存储 (NAS) ,存储 区 域 网 
(SAN) 已 逐渐 取代 了 传统 的 直 连 存储 (DAS) ; 在 系统 层 , 主 要 是 镜像 技术 、 快 照 技术 和 连续 
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数据 保护 技术 ; 在 应 用 层 , 典 型 的 有 数据 库 备 份 技术 。 数 据 的 持续 增长 和 应 用 的 高 连续 性 
对 备份 性 能 的 要 求 越 来 越 高 ,未 来 该 领域 尚 有 待 于 在 数据 去 重 、 备 份 验证 .I/O 优化 、 节 能 技 
术 等 方面 进行 更 深入 的 研究 。 

数据 保护 技术 主要 分 为 三 大 类 : 备份 技术 、 镜 像 技术 和 快照 技术 。 

1) 备份 技术 

备份 技术 就 是 将 数据 加 以 保留 ,以 便 在 系统 遭受 破坏 或 其 他 特定 情况 下 ,重新 加 以 利用 
进行 系统 恢复 的 一 个 过 程 。 

数据 备份 与 数据 恢复 是 保护 数据 的 最 后 手段 ,也 是 防止 信息 攻击 的 最 后 一 道 防线 。 数 
据 备份 的 根本 目的 是 重新 利用 ,备份 工作 的 核心 是 恢复 。 一 个 无 法 恢复 的 备份 ,对 任何 系统 
来 说 都 是 毫 无 意义 的 。 另 外 ,数据 备份 的 意义 不 仅 在 于 防范 意外 事件 的 破坏 ,而 且 还 是 历史 
数据 保存 归档 的 最 佳 方式 。 

(1) 备份 策略 。 

数据 备份 要 根据 实际 情况 来 制定 不 同 的 备份 策略 。 目 前 被 采用 最 多 的 备份 策略 主要 有 
以 下 三 种 。 

@ 全 备份 (full backup) : 是 对 数据 的 完全 备份 。 

@ 增 量 备份 (incremental backup): 是 对 上 次 全 备份 或 者 增 量 备份 后 被 修改 了 的 文件 
做 备份 。 

@ 差分 备份 (differential backup) : 是 备份 自 上 次 全 备份 后 被 修改 过 的 文件 。 

在 实际 应 用 中 ,备份 策略 通常 是 以 上 三 种 的 结合 。 例 如 每 周一 至 周 六 进行 一 次 增 量 备 
份 或 差分 备份 ,每 周 日 进行 全 备份 ,每 月 底 进 行 一 次 全 备份 ,每 年 底 进 行 一 次 全 备份 。 

(2) 数据 备份 模式 。 

数据 备份 有 LAN 备份 .LAN Free 备份 和 SAN Server-Free 备份 等 三 种 备份 模式 。 
LAN 备份 针对 所 有 存储 类 型 都 可 以 使 用 , LAN Free 备份 和 SAN Server-Free 备份 只 能 针 
对 SAN 架构 的 存储 。 

Q@ 基于 LAN 备份 。 

传统 备份 需要 在 每 台 主 机 上 安装 磁带 机 备份 本 机 系统 ,采用 LAN 备份 策略 ,在 数据 量 
不 是 很 大 时 候 , 可 采用 集中 备份 。 一 台中 央 备 份 服务 器 将 会 安装 在 LAN 中 ,然后 将 应 用 服 
务 器 和 工作 站 配置 为 备份 服务 器 的 客户 端 。 中 央 备份 服务 器 接受 运行 在 客户 机 上 的 备份 代 
理 程序 的 请 求 ,将 数据 通过 LAN 传递 到 它 所 管理 的 .与 其 连接 的 本 地 磁带 机 资源 上 。 这 
一 方式 提供 了 一 种 集中 的 、 易 于 管理 的 备份 方案 ,并 通过 在 网 络 中 共享 磁带 机 资源 提高 
效率 。 

@ LAN-Free 备份 。 

由 于 数据 通过 LAN 传播 , 当 需 要 备份 的 数据 量 较 大 ,备份 时 间 紧 迫 时 ,网 络 容易 发 生 
堵塞 。 在 SAN 环境 下 ,可 采用 存储 网 络 的 LAN-Free 备份 ,需要 备份 的 服务 器 通过 SAN 连 
接 到 磁带 机 上 ,在 LAN-Free 备份 客户 端 软 件 的 触发 下 , 读 取 需 要 备份 的 数据 ,通过 SAN 备 
份 到 共享 的 磁带 机 。 这 种 独立 网 络 不 仅 可 以 使 LAN 流量 得 以 转移 ,而 且 它 的 运转 所 需 的 
CPU 资源 低 于 LAN 方式 ,这 是 因为 光纤 通道 连接 不 需要 经 过 服务 器 的 TCP/IP 栈 ,而 且 某 
些 层 的 错误 检查 可 以 由 光纤 通道 内 部 的 硬件 完成 。 在 许多 解决 方案 中 需要 一 台 主 机 来 管理 
共享 的 存储 设备 以 及 用 于 查找 和 恢复 数据 的 备份 数据 库 。 
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加 SAN Server-Free 备份 。 

LAN Free 备份 需要 占用 备份 主机 的 CPU 资源 ,如 果 备份 过 程 能 够 在 SAN 内 部 完成 ， 
而 大 量 数据 流 无 须 流 过 服务 器 , 则 可 以 极 大 地 降低 备份 操作 对 服务 器 硬件 系统 的 影响 。 
SAN Server-Free 备份 就 是 这 样 的 技术 。 

2) 镜像 技术 

数据 镜像 技术 如 图 6-13 所 示 ,就 是 通过 同样 的 1/O 读 写 操作 ,在 独立 的 2 个 存储 区 域 
(通常 是 逻辑 卷 ) 中 保存 相同 的 数据 ,并 且 可 以 同时 进行 IO 读 写 操作 。 


镜像 卷 2 


图 6-13 对 数据 的 镜像 读 写 


(1) 镜像 的 工作 模式 。 

数据 镜像 包括 一 个 主 镜像 系统 和 一 个 从 镜像 系统 。 按 主 、 从 镜像 存储 系统 所 处 的 位 置 
可 分 为 本 地 镜像 和 远程 镜像 。 远 程 镜像 按 请 求 镜像 的 主机 是 否 需要 镜像 站 点 的 确认 信息 ， 
又 可 分 为 同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 数据 的 每 一 个 “ 写 " 操 作 会 同时 在 主 镜像 卷 和 从 镜像 卷 上 完成 , 主 镜像 卷 
的 “ 写 ” 操 作 完成 后 ,还 需要 等 待 从 镜像 卷 完成 “ 写 ” 操 作 , 才 能 进行 下 一 个 1/O 操作 。 数 据 
随机 写 入 ,每 一 个 IO 操作 需 等 待 主 镜像 卷 和 从 镜像 卷 都 完成 ,确认 信息 方 可 释放 ,要 求 存 
储 主 镜像 设备 和 从 镜像 设备 的 性 能 保持 一 致 ,一 般 用 于 要 求 数据 零 丢 失 、 严 格 的 数据 一 致 性 
的 关键 场所 。 

异步 远程 镜像 虽然 同时 将 “ 写 ” 命 令 和 数据 同时 发 送 给 主 镜像 卷 和 从 镜像 卷 ,但 主 镜像 
卷 的 “ 写 ” 操 作 完 成 后 并 不 需要 等 待 从 镜像 卷 完成 “ 写 " 操 作 , 从 镜像 卷 的 “ 写 ” 操 作 可 以 通过 
数据 复制 进程 异步 完成 。 数 据 每 个 IO 顺序 写 入 缓存 (Cache) ,再 由 缓存 随机 写 入 主 镜像 
卷 和 从 镜像 卷 ; 系统 只 须 等 待 写 缓存 的 确认 信息 。 主 镜像 设备 和 从 镜像 设备 的 性 能 可 以 不 
同 ,一般 用 于 对 于 性 能 要 求 高 ,允许 少量 数据 丢失 的 重要 应 用 。 

(2) 卷 镜像 复制 和 RAID 镜像 卷 。 

卷 镜 像 复制 工作 方式 的 系统 结构 如 图 6-14 所 示 。 

根据 两 个 存储 设备 之 间 工 作 方 式 的 不 同 ,数据 同步 和 复制 机 制 的 不 同 ,可 分 为 两 种 方 
式 , 第 一 种 是 卷 镜 像 复制 方式 ,第 二 种 是 RAID 镜像 卷 方式 。 

左 侧 为 主 存储 设备 , 右 侧 为 备用 存储 设备 ,再 通过 卷 镜 像 复制 软件 数据 备份 软件 、 网 络 
层 的 存储 虚拟 化 设备 .存储 设备 自 带 的 卷 镜 像 复制 功能 等 多 种 方式 来 实现 主 、 备 两 个 存储 之 
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间 的 卷 镜 像 复制 ,以 此 来 保障 数据 的 安全 性 。 同 时 备份 存储 设备 也 可 以 作为 数据 存储 服务 
功能 的 一 种 后 备 方式 ,一 旦 主 存储 设备 发 生 故 障 , 就 需要 自动 或 手动 的 切换 到 备份 存储 设 
备 上 。 


图 6-14 卷 镜像 复制 工作 方式 的 系统 结构 图 
RAID 卷 镜像 工作 方式 的 系统 结构 如 图 6-15 所 示 。 


图 6-15 RAID 卷 镜像 复制 工作 方式 的 系统 结构 图 


两 台 存 储 设备 之 间 可 以 是 跨越 一 个 存储 设备 的 RAID 镜像 卷 ,数据 库 服务 器 主机 对 该 
镜像 卷 进 行 数据 读 写 操作 。 由 于 RAID 镜像 卷 跨越 两 个 存储 设备 ,因此 一 台 存储 设备 发 生 
整体 故障 ,RAID 镜像 卷 都 不 会 发 生 故 障 , 也 不 会 影响 数据 库 服 务 器 端 业务 的 正常 进行 。 

与 图 6-14 相 比 ,图 6-15 中 的 存储 设备 对 外 提供 的 是 一 个 镜像 卷 ,而 不 是 两 个 卷 。 当 一 
个 存储 设备 发 生 故障 时 ,不 需要 在 两 个 卷 进行 切换 ,主机 端 不 需要 加 载 新 卷 ,数据 库 服 务 器 
也 不 需要 重新 启动 。 
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在 图 6-15 系统 中 ,两 台 存 储 设备 通过 控制 器 内 含 集群 功能 ,创建 了 一 个 RAID 镜像 卷 ， 
实现 双 机 工作 的 方式 ,从 而 使 得 整个 数据 库存 储 系统 达到 了 主机 、 软 件 ` 网 络 和 存储 等 所 有 
层面 的 双 机 宛 余 高 可 用 。 

(3) 卷 镜 像 复 制 功 能 实现 。 

根据 数据 库 系统 的 网 络 结构 图 可 以 将 数据 库 系统 分 成 三 层 , 即 主机 层 、 网 络 层 和 存储 设 
备 层 ,如 图 6-16 所 示 。 卷 镜像 复制 在 不 同 层 有 不 同 的 实现 方式 。 


服务 器 操作 系统 
基于 主机 层 的 实现 
HBA 
交换 机 
路 由 器 
基于 SAN 网 络 层 的 实现 


控制 器 


wk 


图 6-16 卷 镜 像 复 制 在 不 同 层 有 不 同 的 实现 方式 
@ 主机 层 实 现 卷 镜像 复制 。 
主机 层 实 现 卷 镜像 复制 是 指 在 主机 上 实现 卷 镜 像 管理 和 卷 复制 的 软件 ,并 依靠 软件 来 
实现 数据 在 两 个 卷 之 间 的 同步 或 复制 。 典 型 的 软件 如 : Veritas Volume Replication 。 
在 主机 层 实现 卷 镜 像 复制 方式 中 ,数据 先 写 入 一 个 卷 ,然后 由 软件 再 定时 复制 到 备份 卷 
内 ,或 直接 由 软件 同步 写 入 到 两 个 卷 。 主 机 层 实 现 卷 镜 像 复制 的 系统 结构 如 图 6-17 所 示 。 


基于 存储 子 系统 的 实现 


EE 服务 器 备用 服务 器 


6-17 主机 层 实现 卷 镜 像 复 制 
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这 种 方式 的 缺点 是 数据 同步 操作 由 软件 实现 ,占用 主机 资源 和 网 络 资源 非常 大 。 当 一 
个 存储 发 生 在 实际 应 用 中 经 常会 出 现 问题 ,一 个 存储 设备 发 生 故障 时 ,主机 端 并 不 能 正常 地 
启用 另 一 个 存储 。 

@ 智能 存储 层 实现 卷 镜 像 复 制 。 

许多 中 高 端的 智能 型 存储 设备 ,如 EMC Symmetrix 系列 .IBM ESS 系列 .HP XP512 
系列 .HDS 9900 系列 和 UIT BM6800 系列 产品 ,都 可 以 通过 ShadowImage、SRDF、 
Timefinder、Flashcopy 或 TrueCopy、Remote Volume Mirror 等 功能 实现 卷 镜 像 复 制 功 能 。 
分 别 位 于 不 同 存储 设备 上 的 两 个 卷 之 间 建 立 卷 复制 镜像 功能 ,存储 设备 控制 器 自动 将 写 信 
主 卷 的 数据 复制 到 备份 卷 中 。 当 主 存储 设备 发 生 故障 时 ,业务 将 会 切换 到 备用 存储 设备 上 ， 
并 启用 备份 卷 , 保 证 数据 库 业 务 不 会 中 断 , 数 据 不 会 丢失 ,其 结构 如 图 6-18 所 示 。 


主 服务 器 备用 服务 器 


图 6-18 智能 存储 层 实现 卷 镜像 复制 


这 种 方式 的 优点 是 数据 复制 和 镜像 功能 在 存储 设备 内 部 由 控制 器 来 完成 ,不 需要 主机 
或 第 三 方 软件 的 参与 ,数据 复制 进程 安全 稳定 ,安装 调试 及 维护 简单 。 缺 点 是 卷 镜 像 复 制 进 
程 占 用 存储 设备 的 资源 非常 大 。 主 备 存储 切换 时 ,必须 先 断 开 两 个 卷 之 间 的 镜像 复制 关系 ， 
才能 启动 备份 卷 。 主 机 在 切换 主 、 备 份 卷 的 过 程 中 必须 停止 数据 库 服务 ,引起 业务 中 断 。 整 
个 切换 时 间 较 长 ,一 般 需要 10 一 30 分 钟 , 根 据 无 法 满足 数据 库 系统 所 要 求 的 99. 99%% 的 高 
可 用 性。 

@ 网 络 层 实现 卷 镜 像 复 制 。 

网 络 层 的 数据 复制 或 镜像 功能 一 般 是 由 网 络 层 的 存储 虚拟 化 设备 来 实现 ,这 种 方式 的 
特点 是 依靠 外 加 的 网 络 层 设备 来 实现 两 个 存储 设备 之 间 的 数据 复制 ,数据 复制 过 程 不 占用 
主机 资源 ,两 个 存储 之 间 的 数据 同步 在 网 络 层 完成 。 根 据 存 储 虚拟 化 设备 工作 机 制 的 不 同 ， 
一 般 来 说 ,可 以 分 为 带 内 (In-Band) 和 带 外 (OutofBand) 两 种 。 

如 图 6-19 所 示 为 常见 的 带 内 的 存储 虚拟 化 设备 的 实现 卷 镜像 复制 的 系统 结构 图 。 

存储 虚拟 化 设备 分 别 连接 主机 端 虚拟 化 (Fabric) 和 存储 端 虚 拟 化 ,其 主要 功能 是 管理 
对 存储 设备 上 的 逻辑 卷 , 对 已 有 逻辑 卷 进 行 虚拟 化 或 创建 虚拟 的 条 带 卷 , 消 除 存 储 设备 异 构 
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对 主机 系统 的 影响 ,提高 存储 设备 的 可 用 性 和 总 体 性 能 。 另 外 一 个 功能 就 是 卷 复制 和 镜像 ， 
通过 存储 虚拟 化 设备 实现 两 个 虚拟 卷 之 间 的 数据 安全 保护 。 


果 果 四 用 


主机 端 虚拟 化 


SAN 管 理 器 


存储 端 虚拟 化 


LU L 


图 6-19 带 内 存储 虚拟 化 设备 的 系统 结构 
如 图 6-20 所 示 为 常见 的 带 外 存储 虚拟 化 设备 的 系统 结构 图 。 存 储 虚 拟 化 设备 所 提供 


二 


SAN 虚 拟 化 SVM 媒体 
数据 服务 器 


图 6-20 带 外 存储 虚拟 化 设备 的 系统 结构 


通过 存储 虚拟 化 设备 实现 卷 镜像 复制 功能 的 优势 在 于 操作 由 存储 虚拟 化 设备 来 完成 、 
压力 集中 的 存储 虚拟 化 设备 上 ,不 需要 主机 参与 ,数据 复制 进程 安全 稳定 。 缺 点 是 需要 增加 
专用 存储 虚拟 化 设备 , 带 外 方式 有 的 需要 在 主机 端 需要 安装 存储 虚拟 化 设备 的 客户 端 软 件 ， 
比如 UIT SVM, 有 的 需要 依赖 高 端 智 能 交换 机 ,比如 EMC VSM。 而 带 内 方式 虚拟 化 设备 
则 极 易 成 为 整个 系统 的 性 能 瓶颈 和 故障 点 。 

网 络 层 的 数据 复制 主要 依靠 快照 来 实现 ,由 于 两 次 快照 之 间 有 时 间 间 隔 , 因 此 两 个 存储 


241 


™ 


物 联 网 安全 技术 


设备 之 间 的 数据 并 不 是 完全 同步 的 ,一 旦 主 存储 设备 发 生 故 障 , 即 使 能 启用 备用 存储 ,也 有 
可 能 丢失 一 个 快照 周期 的 数据 。 

(4) RAID 镜像 卷 功能 实现 分 析 。 

RAID 镜像 卷 一 般 有 两 种 实现 方式 ,一 是 在 主机 层 由 卷 管理 软件 来 实现 ; 二 是 在 存储 
层 通过 存储 设备 集群 来 实现 。 

@ 主机 层 实现 镜像 卷 。 

一 般 来 说 ,主机 层 的 镜像 卷 功能 都 是 由 安装 在 主机 上 的 卷 管理 软件 来 实现 的 ,例如 用 
Veritas Volume Manager 这 个 软件 来 实现 。 

主机 层 实 现 RAID 镜像 卷 的 结构 如 图 6-21 所 示 。 


图 6-21 主机 层 实 现 RAID 镜像 卷 


在 图 6-21 中 ,两 个 存储 设备 分 别 创建 两 个 容量 和 参数 相同 的 卷 ,映射 给 数据 库 主机 , 卷 
管理 软件 用 这 两 个 卷 创 建 一 个 软 RAID1 的 镜像 卷 。 这 样 当 数据 库 写 入 数据 时 ,数据 按照 
RAID1 的 机 制 会 同步 写 入 两 个 存储 系统 ,并 保证 两 个 存储 系统 间 数 据 的 同步 和 一 致 性 。 

这 种 实现 方式 的 缺点 镜像 卷 由 卷 管理 软件 来 实现 , 卷 的 长 期 安全 性 和 稳定 性 无 法 保障 。 
卷 管理 软件 占用 主机 资源 非常 大 , 且 会 随 着 存储 设备 网 络 层 或 HBA 卡 发 生 故障 而 大 幅度 
增加 , 极 易 引起 数据 库 死 机 。 很 多 实际 应 用 证 明了 这 个 实现 方式 在 大 型 的 数据 库 系统 中 是 
非常 不 稳定 的 。 

加 存储 层 实现 镜像 卷 。 

存储 层 实现 RAID 镜像 卷 的 结构 如 图 6-22 所 示 。 存 储 设备 层 的 镜像 功能 一 般 是 指 通 
过 存储 设备 自身 强大 的 集群 功能 , 跨 存储 设备 创建 镜像 卷 。 镜 像 卷 由 两 个 存储 设备 的 控制 
器 共同 管理 ,数据 同步 写 人 两 个 存储 设备 。 

这 种 方式 的 特点 是 两 个 存储 设备 的 控制 器 以 集群 方式 工作 ,共同 管理 镜像 卷 ,主机 端 识 
别 到 的 只 是 一 个 镜像 卷 ,而 不 是 前 三 种 方式 中 识别 到 的 两 个 卷 。 因 此 即使 是 任何 一 个 存储 
设备 发 生 整 体 瘫痪 ,镜像 卷 都 不 会 出 现 故 障 或 报错 ,主机 端 也 不 会 发 生 逻 辑 卷 “丢失 ”报错 
或 需要 进行 切换 ,当然 更 不 需要 重新 启动 数据 库 服务 。 

镜像 功能 由 存储 设备 层 实现 ,数据 同步 写 人 两 个 存储 设备 ,不 需要 主机 或 任何 客户 端 软 
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件 的 参与 ,因此 不 会 占用 网 络 层 或 主机 资源 。 

3) 快照 技术 

快照 是 关于 指定 数据 集合 的 一 个 完全 可 用 复制 ,该 复制 包括 相应 数据 在 某 个 时 间 点 ( 复 
制 开始 的 时 间 点 ) 的 上 映像。 快照 可 以 是 其 所 表示 的 数据 的 一 个 副本 ,也 可 以 是 数据 的 一 个 复 
制品 。 

(1) 快照 技术 分 类 。 

快照 技术 分 为 两 大 类 ,一 类 称 为 即 写 即 复制 (copy-on-write) 快 照 ; 另 一 类 称 为 分 割 镜 
像 快照 。 

@ 即 写 即 复制 快照 . 

即 写 即 复制 快照 可 以 在 每 次 输入 新 数据 ,或 已 有 数据 被 更 新 时 生成 对 存储 数据 改动 的 
快照 。 这 样 做 可 以 在 发 生硬 盘 写 错误 ,文件 损坏 或 程序 故障 时 迅速 地 恢复 数据 。 但 是 ,如 果 
需要 对 网 络 或 存储 媒介 上 的 所 有 数据 进行 完全 的 存档 或 恢复 时 ,所 有 以 前 的 快照 都 必须 可 
供 使 用 。 

即 写 即 复制 快照 表现 在 数据 外 观 的 特征 是 “照片 ”。 这 种 方式 通常 也 被 称 为 “元 数据 ” 复 
制 , 即 所 有 的 数据 并 没有 被 真正 复制 到 另 一 个 位 置 ,只 是 指示 数据 实际 所 处 位 置 的 指针 被 复 
制 。 在 使 用 这 项 技术 的 情况 下 , 当 已 经 有 了 快照 时 ,如 果 有 人 试图 改写 原始 的 存储 设 储 上 的 
数据 ,快照 软件 将 首先 将 原始 的 数据 块 复制 到 一 个 新 位 置 (专用 于 复制 操作 的 存储 资源 池 )， 
然后 再 进行 写 操作 。 以 后 当 你 引用 原始 数据 时 ,快照 软件 将 指针 映射 到 新 位 置 ,或 者 当 你 引 
用 快照 时 将 指针 映射 到 老 位 置 。 

@ 分 割 镜像 快照 。 

分 割 镜像 快照 引用 镜像 硬盘 组 上 所 有 数据 。 每 次 应 用 运行 时 ,都 生成 整个 卷 的 快照 ,而 
不 只 是 新 数据 或 更 新 的 数据 。 这 就 使 离线 访问 数据 成 为 可 能 ,并 且 简 化 了 人 恢复、 复制 或 存档 
一 块 硬盘 上 的 所 有 数据 的 过 程 。 但 是 ,这 是 个 较 慢 的 过 程 ,而 且 每 个 快照 需要 占用 更 多 的 存 
储 空间 。 
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分 割 镜像 快照 也 叫 作 原样 复制 ,由 于 它 是 某 一 个 逻辑 单元 号 (Logical Unit Number， 
LUN) 或 文件 系统 上 的 数据 的 物理 复制 ,有 的 管理 员 称 之 为 克隆 、 映 像 等 。 原 样 复制 的 过 程 
可 以 由 主机 (Windows 上 的 MirrorSet、Veritas 的 Mirror 卷 等 ) 或 在 存储 级 上 用 硬件 完成 
(Clone、BCV、ShadowImage 等 ) 。 

(2) 实现 快照 的 方法 。 

具体 实现 快照 的 方法 ,可 以 分 为 三 种 : 冷 快照 复制 .上 暧 快照 复制 和 热 快 照 复制 。 

@ 冷 快照 复制 。 

进行 冷 快照 复制 是 保证 系统 可 以 被 完全 恢复 的 最 安全 的 方式 。 在 进行 任何 大 的 配置 变 
化 或 维护 过 程 之 前 和 之 后 ,一般 都 需要 进行 冷 复 制 , 以 保证 完全 的 恢复 原状 (rollback)。 冷 
复制 还 可 以 与 克隆 技术 相 结 合 复制 整个 服务 器 系统 ,以 实现 各 种 目的 ,如 扩展 、 制 作 服 务 器 
系统 的 副本 供 测试 /开发 之 用 以 及 向 二 层 存 储 迁移 。 

@ 暧 快照 复制 。 

暧 快照 复制 利用 服务 器 的 挂 起 功能 。 当 执行 挂 起 行动 时 ,程序 计数 器 被 停止 ,所 有 的 活 
动 内 存 都 被 保存 在 引导 硬盘 所 在 的 文件 系统 中 的 一 个 临时 文件 (. vmss 文件 ) 中 ,并 且 和 暂停 
服务 器 应 用 。 在 这 个 时 间 点 上 ,进行 整个 服务 器 (包括 内 存 内 容 文件 和 所 有 的 LUN 以 及 相 
关 的 活动 文件 系统 ) 的 快照 复制 。 在 这 个 复制 中 ,机 器 和 所 有 的 数据 将 被 冻结 在 完成 挂 起 操 
作 时 的 处 理 点 上 。 

当 快 照 操 作 完成 时 ,服务 器 可 以 被 重新 启动 ,在 挂 起 行动 开始 的 点 上 恢复 运行 。 应 用 程 
序 和 服务 器 过 程 将 从 同一 时 间 点 上 恢复 运行 。 从 表面 上 看 ,就 好 像 在 快照 活动 期 间 按 下 了 
一 个 暂停 键 一 样 。 对 于 服务 器 的 网 络 客户 机 看 来 ,就 好 像 网 络 服务 暂时 中 断 了 一 下 一 样 。 
对 于 适度 加 载 的 服务 器 来 说 ,这 段 时 间 通 常 在 30 一 120 秒 。 

@ 热 快照 复制 。 

在 这 种 状态 下 ,发 生 的 所 有 的 写 操作 都 立即 应 用 在 一 个 虚 硬盘 上 ,以 保持 文件 系统 的 高 
度 的 一 致 性 。 服 务 器 提供 让 持续 的 虚拟 硬盘 处 于 热 备份 模式 的 工具 ,以 通过 添加 重 做 
(REDO) 日 志文 件 在 硬盘 子 系统 层 上 复制 快照 复制 。 

一 旦 REDO 日 志 被 激活 ,复制 包含 服务 器 文件 系统 的 LUN 的 快照 是 安全 的 。 在 快照 
操作 完成 后 ,可 以 发 出 另 一 个 命令 ,这 个 命令 将 REDO 日 志 处 理 提交 给 下 面 的 虚拟 硬盘 文 
件 。 当 提交 活动 完成 时 ,所 有 的 日 志 项 都 将 被 应 用 ,REDO 文件 将 被 删除 。 在 执行 这 个 操 
作 过 程 中 ,会 出 现 处 理 速度 的 略微 下 降 ,不 过 所 有 的 操作 将 继续 执行 。 但 是 ,在 多 数 情况 下 ， 
快照 进程 几乎 是 瞬间 完成 的 ,REDO 的 创建 和 提交 之 间 的 时 间 非 常 短 。 

热 快 照 操 作 过 程 从 表面 上 看 基本 上 察觉 不 到 服务 器 速度 下 降 。 在 最 差 情 况 下 , 它 看 起 
来 就 是 网 络 拥塞 或 超载 的 CPU 可 能 造成 的 一 般 服 务 器 速度 下 降 。 在 最 好 情况 下 ,不 会 出 
现 可 察觉 到 的 影响 。 快 照 技 术 都 是 在 应 用 层 或 文件 层 实现 的 ,在 备份 的 过 程 中 开销 较 大 ,应 
用 范围 也 相对 较 罕 。 


4. 持续 数据 保护 技术 


持续 数据 保护 技术 (Continuous Data Protection ,CDP) 是 数据 保护 领域 的 一 项 重大 突 
破 。 传 统 的 数据 保护 解决 方案 都 将 主要 精力 放 在 定期 的 数据 备份 上 。 但 是 ,在 定期 备份 状 
态 下 一 直 伴 随 有 备份 窗口 ,数据 一 致 性 以 及 对 服务 器 系统 的 影响 等 问题 。 而 CDP 技术 , 则 
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将 注意 力 的 焦点 从 备份 转向 了 恢复 。 它 可 以 为 重要 数据 中 的 变化 提供 连续 的 保护 ,IT 管理 
员 根 本 不 需要 考虑 备份 的 问题 。 当 灾难 发 生 时 ,基于 CDP 的 解决 方案 可 以 迅速 恢复 到 任何 
一 个 需要 的 还 原点 ,从 而 为 用 户 提供 更 大 的 灵活 性 和 更 高 的 性 能 。 

1) CDP 的 概念 

SNIA 数据 保护 论坛 (DMF) 的 持续 数据 保护 特别 兴趣 小 组 (CDP SIG) 对 CDP 的 定义 
是 ,持续 数据 保护 是 一 套 方法 , 它 可 以 捕获 或 跟踪 数据 的 变化 ,并 将 其 在 数据 之 外 独立 存放 ， 
以 确保 数据 可 以 恢复 到 过 去 的 任意 时 间 点 。 持 续 数据 保护 系统 可 以 基于 块 、 文 件 或 应 用 实 
现 ,能 够 为 恢复 对 象 提供 足够 细 的 恢复 粒度 ,实现 几乎 无 限 多 的 恢复 时 间 点 。 

SNIA 给 出 的 概念 中 明确 指出 了 CDP 技术 可 以 “确保 数据 能 恢复 到 过 去 的 任意 时 间 
点 ”, 因 此 可 以 提供 较 以 往 更 为 灵活 的 目标 恢复 点 (Recovery Point Objectives,RPO) 和 更 快 
的 目标 恢复 时 间 (Recovery Time Objectives,RTO)。 它 可 以 捕获 和 保护 数据 中 所 有 的 变 
化 ,而 非 仅仅 是 某 个 预先 选 定 的 时 间 点 ,这 样 就 可 以 随时 访问 数据 ,减少 数据 损失 并 消除 代 
价 高 昂 的 停机 损失 ,同时 数据 的 检索 也 变 得 非常 可 靠 、 快 速 和 精细 。 

2) CDP 的 实现 方式 

实现 持续 数据 保护 的 关键 就 是 对 数据 变化 的 记录 和 保存 ,实现 在 任意 时 间 点 的 快速 恢 
复 。 它 一 般 有 三 种 实现 方式 : 基准 参考 数据 模式 ,合成 参考 数据 模式 和 复制 参考 数据 模式 。 

(1) 基准 参考 数据 模式 。 

我 们 先 来 看 一 下 基准 参考 数据 模式 的 工作 原理 : 首先 ,根据 已 产生 的 数据 来 建立 供 恢 
复 时 用 的 参考 数据 复制 (这 个 复制 只 需 建立 一 次 ); 其 次 ,在 参考 数据 复制 的 基础 上 向 前 顺 
序 记录 数据 变化 事件 日 志 ; 最 后 , 当 需 要 对 某 些 数据 恢复 时 , 便 根 据 数 据 变化 事件 日 志 ,在 
参考 数据 复制 的 基础 上 完成 恢复 操作 。 

基准 参考 数据 模式 的 工作 原理 如 图 6-23 所 示 。 
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图 6-23 基准 参考 数据 模式 


从 图 6-23 可 以 看 出 ,基准 参考 数据 模式 原理 简单 ,实现 起 来 也 较 容易 ,但 由 于 数据 恢复 
时 需要 从 最 原始 的 参考 数据 开始 ,依次 进行 数据 恢复 ,所 以 恢复 时 间 较 长 。 特 别 是 越 靠 近 当 
前 的 恢复 时 间 点 ,恢复 所 需要 的 时 间 就 越 长 。 

(2) 复制 参考 数据 模式 。 

复制 参考 数据 模式 的 工作 原理 如 图 6-24 所 示 。 

首先 ,在 原始 数据 产生 的 同时 ,恢复 时 所 需 的 参考 数据 也 同时 产生 ; 其 次 ,在 同步 产生 


245 
MA 


246。” 物 联网 安全 技术 


产生 数据 
数 
据 
变 
化 
事 
件 
数据 变化 事件 
志 ( 向 后 
日 志 (向 后 ) 参考 数据 
复制 


图 6-24 复制 参考 数据 模式 


参考 数据 复制 的 同时 ,数据 变化 事件 日 志 便 以 当前 所 产生 的 数据 为 基础 , 回 退 记录 以 前 数据 
的 变化 情况 ; 最 后 , 当 需 要 恢复 时 , 则 在 当前 数据 的 基础 上 ,依据 变化 日 志 , 回 退 到 过 去 任意 
时 间 点 。 

比较 图 6-23 与 图 6-24 可 以 看 出 ,复制 参考 数据 模式 与 基准 参考 数据 模式 在 实现 原理 
上 是 相反 的 。 复 制 参 考 数据 模式 在 数据 恢复 时 ,恢复 的 时 间 点 越 靠 近 当 前 ,所 需要 的 恢复 时 
间 就 越 短 。 但 是 在 数据 的 保存 过 程 中 , 它 需 要 同时 进行 数据 和 日 志 记 录 的 同步 ,因此 需要 较 
多 的 系统 资源 。 

(3) 合成 参考 数据 模式 。 

合成 参考 数据 模式 的 工作 原理 : 首先 , 同 基准 参考 数据 模式 一 样 ,建立 参考 数据 复制 和 
顺序 向 前 记录 的 数据 变化 事件 日 志 ; 其 次 ,定期 根据 前 一 次 的 参考 数据 复制 和 变化 事件 日 
志 , 对 最 初 的 参考 数据 复制 向 前 移动 ,使 参考 数据 复制 记录 的 是 当前 产生 的 数据 ,而 数据 变 
化 日 志 也 变 成 回 退 记录 以 前 数据 的 变化 情况 ; 最 后 ,在 需要 恢复 的 时 候 , 就 可 以 像 复 制 参 考 
模式 那样 进行 了 。 

合成 参考 数据 模式 的 工作 原理 如 图 6-25 所 示 。 
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图 6-25 合成 参考 数据 模式 


通过 图 6-25 我 们 可 以 看 出 ,合成 参考 数据 模式 是 基准 参考 数据 模式 和 复制 参考 数据 模 
式 的 折 中 , 它 可 以 得 到 较 好 的 资源 占用 和 恢复 时 间 效果 。 但 是 , 它 的 实现 是 需要 复杂 的 软件 
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管理 和 数据 处 理 功 能 ,因此 真正 实现 起 来 还 是 比较 复杂 的 。 

3) CDP 的 分 类 

从 操作 方式 来 看 ,CDP 解决 方案 的 设计 方法 可 以 分 为 基于 块 的 ,基于 文件 的 和 基于 应 
用 的 。 因 此 ,CDP 的 实现 模式 也 可 分 为 以 下 三 种 。 

(1) 基于 数据 块 实现 的 CDP。 

基于 数据 块 实现 的 CDP, 它 的 功能 是 直接 运行 在 物理 存储 设备 或 逻辑 卷 管理 器 上 的 ， 
甚至 也 可 以 运行 在 数据 传输 层 上 。 当 数据 块 写 入 生产 数据 的 主 存储 设备 时 ,CDP 系统 可 以 
捕获 数据 的 副本 ,并 将 其 存放 在 另外 一 个 存储 设备 中 。 它 的 实现 方式 又 可 分 为 三 类 : 基于 
主机 层 、 基 于 传输 层 和 基于 存储 层 。 

(2) 基于 文件 实现 的 CDP。 

基于 文件 实现 的 CDP, 作 用 在 文件 系统 之 上 。 它 可 以 捕 提 文件 系统 数据 或 者 元 数据 的 
变化 事件 (例如 文件 的 创建 修改、 删除 等 ), 并 及 时 将 文件 的 变动 进行 记录 ,以 便 将 来 实现 任 
意 时 间 点 的 文件 恢复 。 

(3) 基于 应 用 实现 的 CDP。 

基于 应 用 实现 的 CDP, 直 接 位 于 受 保护 的 特定 应 用 之 中 。 对 需要 保护 的 关键 应 用 程 
序 , 可 以 在 其 中 直接 能 入 和 运行 CDP 功能 。 这 种 实现 方式 能 够 和 应 用 进行 深度 整合 ,确保 
应 用 数据 在 持续 保护 中 的 一 致 性 。 此 外 , 它 作为 应 用 自身 的 内 置 功能 ,也 可 以 利用 特殊 的 应 
用 API 在 发 生变 化 时 赋予 其 连续 访问 应 用 内 部 状态 的 权限 。 它 最 大 的 好 处 就 是 与 应 用 程 
序 结合 紧密 ,管理 比较 灵活 ,便于 用 户 部 署 和 实施 。 

通过 上 述 的 介绍 ,我 们 可 以 看 出 基于 块 和 基于 文件 的 CDP, 可 以 利用 一 种 相同 的 通用 
方法 来 支持 多 种 不 同 的 应 用 。 而 基于 应 用 的 CDP 则 只 为 某 种 应 用 提供 持续 数据 保护 功能 ， 
但 它 的 表现 形式 则 是 一 种 更 为 深入 的 集成 方式 。 

4) CDP 技术 的 应 用 

虽然 CDP 技术 是 近 几 年 兴起 的 新 技术 ,但 是 它 已 经 逐渐 被 人 们 运用 到 了 实际 工作 中 。 

(1) 因为 CDP 技术 的 恢复 时 间 (RTO) 和 恢复 点 (RPO) 的 粒度 更 细 , 所 以 ,CDP 技术 对 
于 当前 数据 的 备份 会 更 及 时 ,而 对 数据 的 恢复 则 更 具有 随意 性 。 特 别 是 在 备份 .恢复 那些 变 
化 较 快 的 数据 ,如 备份 恢复 邮件 服务 器 中 的 电子 邮件 信息 时 ,CDP 技术 比 传统 数据 备份 技 
术 更 具 优势 。 因 此 , 它 在 这 方面 的 应 用 较为 广泛 。 

(2) CDP 技术 的 应 用 可 以 使 数据 的 丢失 量 尽 可 能 的 少 , 因 此 它 也 应 用 于 对 关键 数据 的 
备份 和 恢复 。 

CDP 技术 目前 已 经 成 为 备份 领域 中 最 为 热点 的 技术 ,存储 业 的 生产 商 也 纷纷 推出 这 方 
面 的 产品 ,其 中 包括 来 自 IBM 公司 的 文件 级 CDP 软件 产品 (IBM Tivoli Continuous Data 
Protection for Files) ,来 自 HP 和 EMC 的 块 级 CDP、 来 自 Mendocino 软件 以 及 来 自 微软 和 
Symantec( 赛 门 铁 克 ) 的 快照 和 复制 工具 。 总 之 , 随 着 人 们 对 CDP 技术 关注 程度 的 提高 ,在 
不 久 的 将 来 , 它 一 定 会 得 到 更 为 广泛 的 应 用 。 


6.3.3 数据 库 保护 
1. 数据 库 保 护 概 述 


为 了 适应 和 满足 数据 共享 的 环境 和 要 求 ,DBMS 要 保证 整个 系统 的 正常 运转 ,防止 数 
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据 意外 丢失 和 不 一 致 数据 的 产生 ,以 及 当 数据 库 遭受 破坏 后 能 迅速 地 恢复 正常 ,这 就 是 数据 
库 的 保护 。 

数据 库 保护 又 叫做 数据 库 控制 ,是 通过 四 个 方面 实现 的 , 即 安 全 性 控制 .完整 性 控制 .并 
发 性 控制 和 数据 恢复 。 

数据 库 的 安全 性 是 保护 数据 库 , 以 防止 因 非法 使 用 数据 库 而 造成 的 数据 泄露 、 更 改 或 
破坏 。 

数据 库 的 完整 性 是 保护 数据 库 中 的 数据 的 正确 性 有 效 性 、 相 容 性 。 

并 发 控制 是 为 了 防止 多 个 用 户 同时 存 取 同 一 数据 ,造成 的 数据 不 一 致 。 

数据 恢复 将 因 破坏 或 故障 而 导致 的 数据 库 中 数据 的 错误 状态 恢复 到 最 近 一 个 正确 状态 
的 技术 。 


2. 威胁 数据 库 的 安全 因素 


数据 库 系统 中 的 数据 由 DBMS 统一 管理 与 控制 ,为 了 保证 数据 库 中 数据 的 安全 完整 
和 正确 有 效 ,要求 对 数据 库 实施 保护 ,使 其 免 受 某 些 因素 影响 从 而 对 其 中 数据 造成 的 破坏 。 

一 般 地 说 ,对 数据 库 的 破坏 来 自 以 下 4 个 方面 : 

1) 非法 用 户 

非法 用 户 是 指 那些 未 经 授权 而 恶意 访问 、 修 改 其 至 破坏 数据 库 的 用 户 ,包括 那些 超越 权 
限 来 访问 数据 库 的 用 户 。 一 般 地 说 ,非法 用 户 对 数据 库 的 危害 是 相当 严重 的 。 

2) 非法 数据 

非法 数据 是 指 那些 不 符合 规定 或 语义 要 求 的 数据 ,一 般 由 用 户 的 误 操作 引起 。 

3) 各 种 故障 

各 种 故障 指 的 是 各 种 硬件 故障 (如 磁盘 介质 )、 系 统 软件 与 应 用 软件 的 错误 ,用 户 的 失误 等 。 

4) 多 用 户 的 并 发 访问 

数据 库 是 共享 资源 ,允许 多 个 用 户 并 发 访问 (Concurrent Access) ,由 此 会 出 现 多 个 用 户 
同时 存 取 同 一 个 数据 的 情况 。 如 果 对 这 种 并 发 访问 不 加 控制 ,各 个 用 户 就 可 能 存 取 到 不 正 
确 的 数据 ,从 而 破坏 数据 库 的 一 致 性 。 


3. 数据 库 安全 保护 措施 


针对 以 上 4 种 对 数据 库 破坏 的 可 能 情况 ,数据库 管 理 系统 (DBMS) 核 心 已 采取 相应 措 
施 对 数据 库 实施 保护 ,具体 如 下 : 

1) 利用 权限 机 制 

只 允许 有 合法 权限 的 用 户 存 取 所 允许 的 数据 ,这 就 是 “数据 库 安全 性 ”应 解决 的 问题 。 

2) 利用 完整 性 约束 

防止 非法 数据 进入 数据 库 , 这 是 “数据 库 完整 性 ?应 解决 的 问题 。 

3) 提供 故障 恢复 (Recovery) 能 力 

保证 各 种 故障 发 生 后 ,能 将 数据 库 中 的 数据 从 错误 状态 恢复 到 正确 状态 ,这 是 “故障 恢 
复 技术 ”的 内 容 。 

4) 提供 并 发 控制 (Concurrent Control) 机 制 

控制 多 个 用 户 对 同一 数据 的 并 发 操作 ,以 保证 多 个 用 户 并 发 访问 的 顺利 进行 ,这 是 “并 
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发 控制 "的 内 容 。 
4. 数据 库 安全 性 机 制 


数据 库 的 安全 性 是 指 在 信息 系统 的 不 同 层 次 保护 数据 库 ,防止 未 授权 的 数据 访问 ,避免 
数据 的 泄漏 .不 合法 的 修改 或 对 数据 的 破坏 。 安 全 性 问题 不 是 数据 库 系 统 所 独 有 的 , 它 来 自 
各 个 方面 ,其 中 既 有 数据 库 本 身 的 安全 机 制 ,如 用 户 认证 、 存 取 权限 、 视 图 隔离 .跟踪 与 审查 、 
数据 加 密 、 数 据 完整 性 控制 .数据 访问 的 并 发 控制 .数据 库 的 备份 和 恢复 等 方面 ,也 涉及 计算 
机 硬件 系统 .计算 机 网 络 系统 、 操 作 系统 .组件 .Web 服务 、 客 户 端 应 用 程序 、 网 络 浏览 器 等 。 
只 是 在 数据 库 系统 中 大 量 数据 集中 存放 ,而 且 为 许多 最 终 用 户 直 接 共享 ,从 而 使 安全 性 问题 
更 为 突出 ,每 一 个 方面 产生 的 安全 问题 都 可 能 导致 数据 库 数据 的 泄露 .意外 修改 、 丢 失 等 
后 果 。 

一 般 地 说 ,在 计算 机 系统 中 ,安全 措施 是 一 级 接着 一 级 地 设置 的 ,数据 库 系统 安全 的 模 


型 如 图 6-26 所 示 。 
下 操作 系统 “| “| 。 数据 库 
DBMS OS 一 一 一 一 DB 


用 户 标识 和 鉴别 存储 控制 操作 系统 安全 保护 数据 库 密码 存储 
6-26 数据库 系统 安全 的 模型 


在 图 6-26 的 安全 模型 中 ,用 户 要 进入 计算 机 系统 ,系统 首先 根据 输入 的 用 户 标 识 进行 
用 户 身 份 鉴定 ,只 有 合法 的 用 户 才 准 许 进入 计算 机 系统 。 对 已 经 进入 系统 的 用 户 ,DBMS 
要 进行 存 取 控制 ,只 允许 用 户 执行 合法 操作 。 操 作 系 统一 级 也 会 有 自己 的 保护 措施 。 数 据 
最 后 还 可 以 以 密码 形式 存储 在 数据 库 中 。 

在 本 节 中 ,对 数据 库 的 一 些 迎 辑 安 全 机 制 进行 介绍 ,包括 用 户 认 证 、 存 取 控制 ,视图 隔 
离 ,数据 加 密 、 审 查 等 内 容 作 介绍 。 

1) 用 户 认证 

数据 库 系统 不 允许 一 个 未 经 授权 的 用 户 对 数据 库 进行 操作 。 用 户 标识 与 鉴别 , 即 用 
户 认证 ,是 系统 提供 的 最 外 层 安全 保护 措施 。 其 方法 是 由 系统 提供 一 定 的 方式 让 用 户 标 
识 自己 的 名 字 或 身份 ,每 次 用 户 要 求 进入 系统 时 ,由 系统 进行 核对 ,通过 鉴定 后 才 提 供 机 器 
使 用 权 。 对 于 获得 上 机 权 的 用 户 若 要 使 用 数据 库 时 ,数据 库 管理 系统 还 要 进行 用 户 标识 和 
鉴定 。 

用 户 标识 和 鉴定 的 方法 有 很 多 种 ,而且 在 一 个 系统 中 往往 多 种 方法 并 用 ,以 得 到 更 强 的 
安全 性 。 常 用 的 方法 是 用 户 名 和 口令 。 

通过 用 户 名 和 口令 来 鉴定 用 户 的 方法 简单 易 行 ,但 其 可 靠 程度 极 差 ,容易 被 他 人 猜 出 或 
测 得 。 因 此 ,设置 口令 法 对 安全 强度 要 求 比 较 高 的 系统 不 适用 。 近 年 来 ,一 些 更 加 有 效 的 身 
份 认证 技术 迅速 发 展 起 来 。 例 如 使 用 某 种 计算 机 过 程 和 函数 、 智 能 卡 技术 ,物理 特征 (指纹 、 
声音 、 笔 迹 等 ) 认 证 技术 等 具有 高 强度 的 身份 认证 技术 日 益 成 熟 ,并 取得 了 不 少 应 用 成 果 ,为 
将 来 达到 更 高 的 安全 强度 打下 了 坚实 的 理论 基础 。 
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2) 存 取 控 制 

数据 库 安全 性 所 关心 的 主要 是 DBMS 的 存 取 控制 机 制 。 数 据 库 安全 最 重要 的 一 点 就 
是 确保 只 授权 给 有 资格 的 用 户 访问 数据 库 的 权限 ,同时 令 所 有 未 被 授权 的 人 员 无 法 接近 数 
据 ,这 主要 通过 数据 库 系统 的 存 取 控 制 机 制 实现 。 存 取 控 制 是 数据 库 系统 内 部 对 已 经 进入 
系统 的 用 户 的 访问 控制 ,是 安全 数据 保护 的 前 沿 屏障 ,是 数据 库 安全 系统 中 的 核心 技术 ,也 
是 最 有 效 的 安全 手段 。 

在 存 取 控制 技术 中 ,DBMS 所 管理 的 全 体 实体 分 为 主体 和 客体 两 类 。 主 体 (Subject) 是 
系统 中 的 活动 实体 ,包括 DBMS 所 管理 的 实际 用 户 , 也 包括 代表 用 户 的 各 种 进程 。 客 体 
(CObiect) 是 存储 信息 的 被 动 实体 ,是 受 主体 操作 的 ,包括 文件 .基本 表 、 索 引 和 视图 等 。 

数据 库存 取 控 制 机 制 包 括 两 个 部 分 : 

(1) 定义 用 户 权限 ,并 将 用 户 权限 登记 到 数据 字典 中 。 用 户 权限 是 指 不 同 的 用 户 对 不 
同 的 数据 对 象 允 许 执行 的 操作 权限 。 系 统 必 须 提供 适当 的 语言 定义 用 户 权限 ,这 些 定义 经 
过 编译 后 存放 在 数据 字典 中 ,被 称 作 系统 的 安全 规则 或 授权 规则 。 

(2) 合法 性 权限 检查 。 当 用 户 发 出 存 取 数据 库 的 操作 请 求 后 (请 求 一 般 应 包括 操作 类 
型 操作 对 象 、 操 作用 户 等 信息 ) ,数据 库 管理 系统 查找 数据 字典 ,根据 安全 规则 进行 合法 权 
限 检 查 ,车 用 户 的 操作 请 求 超出 了 定义 权限 ,系统 将 拒绝 执行 此 操作 。 

3) 视图 隔离 

视图 是 数据 库 系统 提供 给 用 户 以 多 种 角度 观察 数据 库 中 数据 的 重要 机 制 , 是 从 一 个 或 
几 个 基 表 (或 视图 ) 导 出 的 表 , 它 与 基 表 不 同 , 是 一 个 虚 表 。 数 据 库 中 只 存放 视图 的 定义 ,而 
不 存放 视图 对 应 的 数据 ,这 些 数据 仍 存放 在 原来 的 基本 表 中 。 

从 某 种 意义 上 讲 , 视 图 就 像 一 个 窗口 , 透 过 它 可 以 看 到 数据 库 中 自己 感 兴趣 的 数据 及 其 
变化 。 进 行 存 取 权限 控制 时 ,可 以 为 不 同 的 用 户 定义 不 同 的 视图 ,把 访问 数据 的 对 象限 制 在 
一 定 的 范围 内 。 也 就 是 说 ,通过 视图 机 制 要 把 保密 的 数据 对 无 权 存 取 的 用 户 隐藏 起 来 ,从 而 
对 数据 提供 一 定 程度 的 安全 保护 。 

需要 指出 的 是 ,视图 机 制 最 主要 的 功能 在 于 提供 数据 独立 性 ,在 实际 应 用 中 ,常常 将 视 
图 机 制 与 存 取 控 制 机 制 结合 起 来 使 用 ,首先 用 视图 机 制 屏 蔽 一 部 分 保密 数据 ,再 在 视图 上 进 
一 步 定义 存 取 权 限 。 通 过 定义 不 同 的 视图 及 有 选择 地 授予 视图 上 的 权限 ,可 以 将 用 户 、 组 或 
角色 限制 在 不 同 的 数据 子 集 内 。 

4) 数据 加 密 

前 面 介绍 的 几 种 数据 库 安 全 措施 ,都 是 防止 从 数据 库 系统 中 窃取 保密 数据 。 但 数据 存 
储 在 存盘 、 磁 带 等 介质 上 ,还 常常 通过 通信 线路 进行 传输 ,为 了 防止 数据 在 这 些 过 程 中 被 穷 
取 , 妥 当 的 方法 是 对 数据 进行 加 密 。 对 于 高 度 敏感 性 数据 ,例如 财务 数据 ,军事 数据 ,国家 机 
密 ,除了 上 述 安全 措施 外 ,还 必须 采用 数据 加 密 技 术 。 有 关 加 密 技术 的 知识 请 阅读 本 
书 第 3 章 。 

加 密 的 基本 思想 是 根据 一 定 的 算法 将 原始 数据 (术语 为 明文 ) 变 换 为 不 可 直接 识别 的 格 
式 (术语 为 密 文 ), 从 而 使 得 不 知道 解密 算法 的 人 无 法 获知 数据 的 内 容 。 数 据 解密 是 加 密 的 
逆 过 程 ,即将 密 文 数据 转变 成 可 见 的 明文 数据 。 

一 个 密码 系统 包含 明文 集合 、 密 文集 合 、 密 钥 集 合 和 算法 ,其 中 密 钥 和 算法 构成 了 密码 
系统 的 基本 单元 。 算 法 是 一 些 公 式 ,法 则 或 程序 , 它 规定 明文 与 密 文 之 间 的 变换 方法 , 密 钥 
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可 以 看 作 算 法 中 的 参数 。 
密码 系统 的 结构 如 图 6-27 所 示 。 
明文 m 加 密 器 密 文 c 解密 器 明文 m 
E. D. 四 
加 密 密 钥 Kl |weweu 
密 钥 源 | _ 密 钥 信 道 _ 密 钥 源 
Kl 天 - 


6-27 数据 加 密 系 统 


加 密 方法 可 分 为 对 称 加 密 与 非 对 称 加 密 两 种 。 

所 谓 对 称 加 密 , 其 加 密 所 用 的 密 钥 与 解密 所 用 的 密 钥 相同 。 典 型 的 代表 是 DES(Data 
Encryption Standard) 数 据 加 密 标准 。 所 谓 非 对 称 加 密 , 其 加 密 所 用 的 密 钥 与 解密 所 用 的 密 
钥 不 相同 ,其 中 加 密 的 密 钥 可 以 公开 ,而 解密 的 密 钥 不 可 以 公开 。 

数据 加 密 和 解密 是 相当 费时 的 操作 ,其 运行 程序 会 占用 大 量 系统 资源 ,因此 数据 加 密 功 
能 通常 是 可 选 特征 ,允许 用 户 自由 选择 ,一 般 只 对 机 密 数 据 进行 加 密 。 

5) 审计 

审计 功能 是 DBMS 达到 C2 级 以 上 安全 级 别 必 不 可 少 的 指标 。 这 是 数据 库 系统 的 最 后 
一 道 安全 防线 。 

审计 功能 把 用 户 对 数据 库 的 所 有 操作 自动 记录 下 来 ,存放 在 日 志文 件 中 。DBA 可 以 利 
用 审计 跟踪 的 信息 , 重 现 导致 数据 库 现 有 状况 的 一 系列 事件 , 找 出 非法 访问 数据 库 的 人 、 时 
间 、 地 点 以 及 所 有 访问 数据 库 的 对 象 和 所 执行 的 动作 。 

一 般 地 说 ,有 两 种 审计 方式 , 即 用 户 审 计 和 系统 审计 。 

(1) 用 户 审计 : DBMS 的 审计 系统 记 下 所 有 对 表 或 视图 进行 访问 的 企图 (包括 成 功 的 
和 不 成 功 的 ) 及 每 次 操作 的 用 户 名 、 时 间 、 操 作 代码 等 信息 。 这 些 信息 一 般 都 被 记录 在 数据 
字典 (系统 表 ) 之 中 ,利用 这 些 信息 用 户 可 以 进行 审计 分 析 。 

(2) 系统 审计 : 由 系统 管理 员 进 行 ,其 审计 内 容 主 要 是 系统 一 级 命令 以 及 数据 库 客 体 
的 使 用 情况 。 

审计 通常 是 很 费时 间 和 空间 的 ,所 以 DBMS 往往 将 其 作为 可 选 特征 ,一 般 主要 用 于 安 
全 性 要 求 较 高 的 部 门 。 


5. 数据 库 的 完整 性 机 制 


1) 概述 

数据 库 的 完整 性 机 制 是 防止 合法 用 户 使 用 数据 库 时 向 数据 库 中 加 入 不 符合 语义 的 数 
据 , 完 整 性 措施 的 防范 对 象 是 不 合 语义 的 数据 。 

数据 库 的 安全 性 和 完整 性 是 数据 库 安 全 保护 的 两 个 不 同 的 方面 。 数 据 库 的 安全 性 保 
护 数据 库 以 防止 不 合法 用 户 故意 造成 的 破坏 ,而 数据 库 的 完整 性 则 保护 数据 库 以 防止 合 
法 用 户 无 意 中 造 成 的 破坏 。 从 数据 库 的 安全 保护 角度 来 讲 , 完 整 性 和 安全 性 是 密切 相 
关 的 。 

数据 库 完整 性 的 基本 含义 是 指数 据 库 中 数据 的 正确 性 有效 性 和 相 容 性 ,指数 据 库 中 数 
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据 与 现实 世界 的 实际 情况 是 相符 的 或 数据 库 中 数据 自身 不 存在 自 相 矛盾 的 现象 。 其 主要 目 
的 是 防止 错误 的 数据 进入 数据 库 。 正 确 性 是 指数 据 的 合法 性 ,例如 数值 型 数据 只 能 含有 数 
字 而 不 能 含有 字母 。 有 效 性 是 指数 据 是 否 属于 所 定义 域 的 有 效 范 围 。 相 容 性 是 指 表示 同一 
事实 的 两 个 数据 应 当 一 致 ,不 一 致 即 是 不 相 容 。 

数据 库 管 理 系统 的 完整 性 机 制 应 具有 三 个 方面 的 功能 ,来 防止 合法 用 户 在 使 用 数据 库 
时 ,向 数据 库 注入 不 合法 或 不 合 语义 的 数据 : 

(1) 定义 功能 ,提供 定义 完整 性 约束 条 件 的 机 制 。 

(2) 验证 功能 ,检查 用 户 发 出 的 操作 请 求 是 否 违 背 了 完整 性 约束 条 件 。 

(3) 处 理 功能 ,如 果 发 现 用 户 的 操作 请 求 使 数据 违背 了 完整 性 约束 条 件 , 则 执行 相应 的 
动作 来 保证 数据 的 完整 性 。 

2) 数据 库 完整 性 的 分 类 

数据 完整 性 检查 是 围绕 完整 性 约束 条 件 进行 的 ,因此 完整 性 约束 条 件 是 完整 性 控制 机 
制 的 核心 。 

数据 库 完整 性 约束 分 为 两 种 : 静态 完整 性 约束 和 动态 完整 性 约束 。 完 整 性 约束 条 件 涉 
及 三 类 作用 对 象 , 即 属性 级 、 元 组 级 和 关系 级 。 这 三 类 对 象 的 状态 可 以 是 静态 的 ,也 可 以 是 
动态 的 。 

静态 完整 性 约束 (Static Integrity Constraints) ,简称 静态 约束 ,是 指数 据 库 每 一 确定 状 
态 时 的 数据 对 象 所 应 满足 的 约束 条 件 , 它 是 反映 数据 库 状态 合理 性 的 约束 ,是 最 重要 的 一 类 
完整 性 约束 ,也 称 “状态 约束 ”。 

动态 完整 性 约束 (Dynamic Integrity Constraints) ,简称 动态 约束 ,不 是 对 数据 库 状 态 的 
约束 ,而 是 指数 据 库 从 一 个 正确 状态 向 另 一 个 正确 状态 的 转化 过 程 中 新 、 旧 值 之 间 所 应 满足 
的 约 东 条件 ,反映 数据 库 状态 变迁 的 约束 , 故 也 称 为 “变迁 约束 ”。 

结合 这 两 种 状态 ,一般 将 这 些 约束 条 件 分 为 静态 属性 级 约束 、 静 态 元 组 级 约束 、 静 态 关 
系 级 约束 动态 属性 级 约束 ,动态 元 组 级 约束 动态 关 系 级 约束 6 种 约束 。 

(1) 静态 属性 级 约束 。 

静态 属性 级 约束 是 对 属性 值 域 的 说 明 ,是 最 常用 也 是 最 容易 实现 的 一 类 完整 性 约束 , 包 
括 以 下 几 个 方面 ， 

QO@ 对 数据 类 型 的 约束 (包括 数据 的 类 型 .长 度 . 单 位 ,精度 等 )。 例 如 ,学 号 必须 为 字符 
型 ,长 度 为 8。 

@ 对 数据 格式 的 约束 。 例 如 ,规定 学 号 的 前 两 位 表示 入 学 年 份 ,中 间 两 位 表示 系 的 编 
号 ,后 四 位 表示 顺序 编号 。 出 生日 期 的 格式 为 YY. MM. DD。 

@ 对 取 值 范围 或 取 值 集合 的 约束 。 例 如 ,规定 学 生 的 成 绩 取 值 范 围 为 0 一 100, 性 别 的 
取 值 集合 为 [ 男 , 女 ], 大 学 本 科学 生年 龄 的 取 值 范围 为 14 一 29 。 

@ 对 空 值 的 约束 。 空 值 表 示 未 定义 或 未 知 的 值 , 它 与 零 值 和 空格 不 同 。 有 的 属性 允许 
空 值 ,有 的 不 允许 取 空 值 。 例 如 学 生 学 号 不 能 取 空 值 ,成 绩 可 以 为 空 值 。 

@ 其 他 约束 。 例 如 关于 列 的 排序 说 明 , 组 合 列 等 。 

(2) 静态 元 组 级 约束 。 

一 个 元 组 是 由 若干 个 列 值 组 成 的 ,静态 元 组 级 约 东 是 对 元 组 中 各 个 属性 值 之 间 关系 的 
约束 。 如 订货 关系 中 包含 订货 数量 与 发 货 数 量 这 两 个 属性 ,其 中 发 货 量 不 得 超出 订货 量 ; 
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又 如 教师 关系 中 包含 职称 、 工 资 等 属性 ,规定 教授 的 工资 不 低 于 1000 元 。 

(3) 静态 关系 级 约束 。 

静态 关系 级 约束 是 一 个 关系 中 各 个 元 组 之 间 , 或 者 若干 个 关系 之 间 常 常 存 在 的 各 种 联 
系 的 约束 。 常 见 的 静态 关系 级 约束 有 : 

QO 实体 完整 性 约束 。 

@ 参照 完整 性 约束 。 

实体 完整 性 约束 和 参照 完整 性 约束 是 关系 模型 的 两 个 极其 重要 的 约束 , 称 为 关系 的 两 
个 不 变性 。 

@ 函数 依赖 约束 。 大 部 分 函数 依赖 约束 都 在 关系 模式 中 定义 。 

@ 统计 依赖 约束 。 统 计 依赖 约束 指 的 是 字段 值 与 关系 中 多 个 元 组 的 统计 值 之 间 的 约 
东 关 系 , 如 规定 总 经 理 的 工资 不 得 高 于 职工 的 平均 工资 的 4 倍 ,不 得 低 于 本 部 门 职工 平均 工 
资 的 3 倍 , 其 中 ,本 部 门 职工 的 平均 工资 是 一 个 统计 值 。 

(4) 动态 属性 级 约束 。 

动态 属性 级 约束 是 修改 定义 或 属性 值 时 应 该 满足 的 约束 条 件 。 其 中 包括 : 

@ 修改 定义 时 的 约束 。 例 如 ,将 原来 允许 空 值 的 属性 修改 为 不 允许 空 值 时 ,如 果 该 属 
性 当前 已 经 存在 空 值 , 则 规定 拒绝 修改 。 

@ 修改 属性 值 时 的 约束 。 修 改 属 性 值 有 时 需要 参考 该 属性 的 原 有 值 , 并 且 新 值 和 原 有 
值 之 间 需 要 满足 某 种 约束 条 件 。 例 如 ,职工 工资 调整 不 得 低 于 其 原 有 工资 ,学 生年 龄 只 能 增 
长 等 。 

(5) 动态 元 组 级 约束 。 

动态 元 组 级 约束 是 指 修改 某 个 元 组 的 值 时 要 参照 该 元 组 的 原 有 值 , 并 且 新 值 和 原 有 值 
间 应 当 满足 某 种 约束 条 件 。 例 如 ,职工 工资 调整 不 得 低 于 其 原 有 工资 十 工龄 XX1.5 等 。 

(6) 动态 关系 级 约束 。 

动态 关系 级 约束 就 是 加 在 关系 变化 前 后 状态 上 的 限制 条 件 。 例 如 ,事务 的 一 致 性 ,原子 
性 等 约束 。 动 态 关 系 级 约束 实现 起 来 开销 较 大 。 


6. 数据 库 完整 性 的 约束 


如 前 所 述 , 要 实现 由 现实 系统 转换 而 来 的 数据 库 的 完整 性 约束 , 需 先 定义 约束 ,并 存储 
于 DBMS 的 约束 库 中 ,一 旦 数据 库 中 的 数据 要 发 生变 化 , 则 DBMS 将 根据 约束 库 中 的 约束 ， 
对 数据 库 的 完整 性 进行 “验证 ”。 

1) 固有 约束 与 隐 式 约束 

(1) 国有 约束 是 数据 模型 所 固有 的 ,在 DBMS 实现 时 已 经 考虑 ,不 必 和 额外 作 说 明和 定 
义 , 只 需 在 数据 库 设 计时 遵从 这 一 约束 即 可 。 

(2) 隐 式 约束 需 利用 数据 库 的 数据 定义 语言 (DDL) 显 式 定 义 说 明 , 将 约 东 存储 在 约束 
库 中 , 当 数 据 库 被 更 新 时 ,由 数据 库 管理 系统 进行 完整 性 约束 验证 。 例 如 ,对 关系 模型 来 说 ， 
利用 SQL 定义 语言 ,定义 相应 的 实体 完整 性 约束 .参照 完整 性 约束 .CHECK 约束 、 唯 一 约 
东 等 。 

2) 显 式 约束 

显 式 约 束 的 定义 方法 有 过 程 化 定义 、 断 言 定义 方法 、 触 发 器 定义 方法 等 。 
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(1) 过 程 化 定义 方法 利用 过 程 (或 函数 ) 来 定义 和 验证 约束 。 由 程序 员 将 约束 编写 成 过 
程 ,加 入 到 每 个 更 新 数据 库 的 事务 中 ,用 以 检验 数据 库 更 新 有 否 违反 规定 的 约束 ,如 果 违 反 
约束 条 件 , 则 相应 的 数据 更 新 事务 将 被 异常 中 止 。 过 程 化 定义 的 约束 ,DBMS 只 提供 定义 
途径 ,不 负责 约束 的 验证 ,过 程 的 定义 和 验证 由 程序 员 在 一 个 过 程 中 由 通用 程序 设计 语言 
制 。 这 种 方法 既 为 程序 员 编制 高 效率 的 完整 性 验证 程序 提供 了 有 利 的 条 件 ,同时 也 给 程序 
员 带 来 了 很 大 的 负担 。 

(2) 断言 定义 方法 使 用 一 种 约束 定义 语言 来 定义 显 式 约束 ,是 一 种 形式 化 方法 。 一 个 
断言 就 是 一 个 谓词 ,表达 了 数据 库 在 任何 时 候 都 应 该 满足 的 一 个 条 件 。 约 束 递归 语言 通常 
是 关系 演算 语言 的 变种 。 显 式 约束 的 断言 定义 方法 把 约 东 集合 和 完整 性 验证 子 系统 严格 分 
开 。 约 束 集合 存储 在 约束 库 中 ,完整 性 验证 子 系 统 存 取 约 束 库 中 的 约束 ,将 其 应 用 到 相应 的 
数据 库 更 新 事务 中 ,验证 该 事务 是 否 违 反 完整 性 约束 。 如 发 现 更 新 事务 违反 约束 , 即 退 回 该 
事务 ,否则 ,允许 更 新 事务 的 进行 。 

(3) 触发 器 定义 方法 是 当 特 定 的 事件 (如 对 一 个 表 的 插入 删除、 修改 ?发 生 时 ,对 规则 
的 条 件 进行 检查 ,如 果 条 件 成 立 ,执行 规则 中 的 动作 ,否则 不 执行 该 动作 。 其 验证 由 数据 库 
管理 系统 负责 。 

3) 动态 约束 的 定义 

动态 约束 的 定义 ,可 以 利用 DBMS 为 显 式 约束 定义 提供 的 过 程 化 定义 方法 和 触发 器 定 
义 方法 ,开发 人 员 通 过 比较 变化 前 后 的 数据 ,决定 是 否 允 许 数据 状态 的 改变 。 动 态 约 束 的 验 
证 过 程 遵循 显 式 约束 的 验证 过 程 。 

7. 数据 库 并 发 控制 

1) 并 发 控制 概述 

数据 库 的 最 大 特点 之 一 就 是 数据 资源 是 共享 的 , 串 行 执行 意味 着 一 个 用 户 在 运行 程序 
时 ,其 他 用 户 程序 必须 等 到 这 个 用 户 程序 结束 才能 对 数据 库 进 行 存 取 , 这 样 如 果 一 个 用 户 程 
序 涉及 大 量 数据 的 输入 /输出 交换 , 则 数据 库 系统 的 大 部 分 时 间 将 处 于 闲置 状态 。 

因此 ,为 了 充分 利用 数据 库 资源 ,很 多 时 候 数据 库 用 户 都 是 对 数据 库 系统 并 行 存 取 数 
据 ,这 样 就 会 发 生 多 个 用 户 并 发 存 取 同 一 数据 块 的 情况 。 如 果 对 并 发 操作 不 加 控制 可 能 会 
产生 不 正确 的 数据 ,破坏 数据 的 完整 性 ,并 发 控制 就 是 解决 这 类 问题 。 并 发 控制 可 以 保持 数 
据 库 中 数据 的 一 致 性 , 即 在 任何 一 个 时 刻 数据 库 都 将 以 相同 的 形式 给 用 户 提供 数据 。 

2) 事务 

并 发 控制 是 以 事务 (transaction) 为 单位 进行 的 。 事务 是 数据 库 的 迎 辑 工作 单位 , 它 是 
用 户 定义 的 一 组 操作 序列 。 但 并 不 是 任意 的 数据 操作 序列 都 能 成 为 事务 ,为 了 保护 数据 的 
完整 性 ,事务 要 求 处 理 时 必须 满足 ACID 原则 , 即 事 务必 须 具 有 以 下 特征 : 

(1) 原子 性 。 

原子 性 (Atomic) 是 指 一 个 事务 是 一 个 不 可 分 割 的 工作 单位 ,事务 在 执行 时 ,应 该 遵守 
“要 么 不 做 ,要 么 全 做 ”的 原则 , 即 不 允许 事务 部 分 的 完成 。 

(2) 一 致 性 。 

一 致 性 (Consistency) 是 指 事务 执行 的 结果 必须 是 使 数据 库 从 一 个 一 致 性 状态 变 到 另 
一 个 一 致 性 状态 。 例 如 前 面 的 转账 如 果 只 执行 其 中 一 个 操作 , 则 数据 库 处 于 不 一 致 状态 , 账 
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务 会 出 现 问 题 。 也 就 是 说 ,两 个 操作 要 么 全 做 ,要 么 全 不 做 ,否则 就 不 能 成 为 事务 。 

(3) 隔离 性 。 

隔离 性 (Isolation) 是 指数 据 库 中 一 个 事务 的 执行 不 能 被 其 他 事务 干扰 。 即 一 个 事务 内 
部 的 操作 及 使 用 的 数据 对 并 发 的 其 他 事务 是 隔离 的 。 并 发 控制 就 是 为 了 保证 事务 间 的 隔 
离 性 。 

(4) 持久 性 (Durability) 。 

持久 性 (Durability) 指 一 个 事务 一 旦 提交 , 它 对 数据 库 中 数据 的 改变 就 应 该 是 持久 的 ， 
即使 数据 库 因 故 障 而 受到 破坏 ,DBMS 也 应 该 能 够 恢复 。 

(5) 正确 调度 。 

保证 事务 ACID 特性 是 事务 处 理 的 重要 任务 ,而 事务 ACID 特性 可 能 遭 到 破坏 的 原因 
之 一 是 多 个 事务 对 数据 库 的 并 发 操作 造成 的 。 为 了 保证 事务 的 隔离 性 和 保证 数据 库 的 一 致 
性 ,DBMS 需要 对 并 发 操作 进行 正确 调度 。 这 些 就 是 数据 库 管理 系统 中 并 发 控制 机 制 的 
责任 。 

3) 并 发 操作 导致 的 不 一 致 性 

一 般 地 说 ,并 发 操作 带 来 的 数据 不 一 致 性 主要 包括 以 下 三 类 : 

(1) 丢失 修改 。 

事务 1 与 事务 2 从 数据 库 中 读 入 同一 数据 并 修改 ,事务 2 的 提交 结果 破坏 了 事务 1 提 
交 的 结果 ,导致 事务 1 的 修改 被 丢失 。 

(2) 不 可 重复 读 。 

事务 1 读 取 数 据 后 ,事务 2 执行 更 新 操作 ,使 事务 1 无 法 再 现 前 一 次 读 取 结 果 。 

(3) 读 * 脏 ?数据 。 

事务 1 修改 某 一 数据 ,并 将 其 写 回 磁盘 ,事务 2 读 取 该 修改 后 的 数据 后 ,事务 1 由 于 某 
种 原因 被 撤销 ,这 时 事务 1 已 修改 过 的 数据 恢复 原 值 ,事务 2 读 到 的 数据 就 与 数据 库 中 的 数 
据 不 一 致 ,是 不 正确 的 数据 ,又 称 为 * 脏 ”数据 。 

产生 上 述 三 类 数据 不 一 致 性 的 主要 原因 是 并 发 操作 破坏 了 事务 的 隔离 性 。 并 发 控制 就 
是 要 用 正确 的 方式 调度 并 发 操作 ,使 一 个 用 户 事务 的 执行 不 受 其 他 事务 的 干扰 ,从 而 避免 造 
成 数据 的 不 一 致 性 。 

另 一 方面 ,对 数据 库 的 应 用 有 时 允许 某 些 不 一 致 性 ,例如 有 些 统计 工作 涉及 数据 量 很 大 ， 
读 到 一 些 * 脏 ”数据 对 统计 精度 没什么 影响 ,这 时 可 以 降低 对 一 致 性 的 要 求 以 减少 系统 开销 。 

并 发 控制 的 主要 方式 是 封锁 机 制 , 即 加 锁 (Locking)。 

4) 加 锁 

加 锁 就 是 事务 T 在 对 某 个 数据 操作 之 前 , 先 向 系统 发 出 请 求 , 对 其 加 锁 。 加 锁 后 事务 
工 对 其 要 操作 的 数据 具有 了 一 定 的 控制 权 , 在 事务 T 释放 它 的 锁 之 前 ,其 他 事务 不 能 操作 
这 些 数据 。 

确切 的 控制 由 封锁 的 类 型 决定 。 基 本 的 封锁 类 型 有 两 种 :排他 锁 (Exclusive Locks,X 
锁 ) 和 共享 锁 (Share Locks,.S 锁 )。 
排他 锁 又 称 为 写 锁 。 若 事务 T 对 数据 对 象 A 加 上 X 锁 , 则 只 允许 事务 T 读 取 和 修改 
A, 其 他 事务 任何 事务 都 不 能 再 对 A 加 任何 类 型 的 锁 ,直到 事务 T 释放 A 上 的 锁 。 这 就 保 
证 了 其 他 事务 在 事务 T 释放 A 上 的 锁 之 前 不 能 再 读 取 和 修改 A。 


255 


MA 


256 


AA 


物 联网 安全 技术 


共享 锁 又 称 为 读 锁 。 若 事务 T 对 数据 对 象 A 加 上 S 锁 , 则 事务 T 可 以 读 A 但 不 能 修 
改 A, 其 他 事务 只 能 再 对 A 加 S 锁 ,而 不 能 加 XX 锁 ,直到 事务 释放 A 上 的 S 锁 。 这 就 保 
证 了 其 他 事务 可 以 读 A, 但 在 事务 释放 A 上 的 S 锁 之 前 不 能 对 A 做 任何 修改 。 

5) 封锁 协议 

封锁 可 以 保证 合理 地 进行 并 发 控制 ,保证 数据 的 一 致 性 。 在 封锁 时 ,要 考虑 一 定 的 封锁 
规则 ,例如 , 何 时 开始 封锁 ,封锁 多 长 时 间 、 何 时 释放 等 ,这 些 封锁 规则 称 为 封锁 协议 。 对 封 
锁 方 式 规定 不 同 的 规则 ,就 形成 了 各 种 不 同 的 封锁 协议 。 封 锁 协 议 在 不 同 程度 上 对 正确 控 
制 并 发 操作 提供 了 一 定 的 保证 。 并 发 操作 所 带 来 的 丢失 修改 、 污 读 和 不 可 重读 等 数据 不 一 
致 性 问题 ,可 以 通过 三 级 封锁 协议 在 不 同 程度 上 给 予 解决 。 

(1) 一 级 封锁 协议 。 

一 级 封锁 协议 是 事务 T 在 修改 数据 R 之 前 必须 先 对 其 加 XX 锁 ,直到 事务 结束 才 释 放 。 
事务 结束 包括 正常 结束 (COMMIT) 和 非 正常 结束 (ROLLBACK)。 

一 级 封锁 协议 可 防止 丢失 修改 ,并 保证 事务 T 是 可 恢复 的 。 

在 一 级 封锁 协议 中 ,如 果 仅 仅 是 读数 据 不 对 其 进行 修改 ,是 不 需要 加 锁 的 ,所 以 它 不 能 
保证 可 重复 读 和 不 读 “ 脏 ”数据 。 

(2) 二 级 封锁 协议 。 

二 级 封锁 协议 是 一 级 封锁 协议 加 上 事务 T 在 读 取 数 据 R 之 前 必须 先 对 其 加 S 锁 , 读 完 
后 即 可 释放 S 锁 。 

在 二 级 封锁 协议 中 ,除了 可 以 防止 丢失 修改 ,还 可 以 进一步 防止 读 “ 脏 ”数据 。 由 于 读 完 
数据 后 即 可 释放 S 锁 ,所 以 它 不 能 保证 可 重复 读 。 

(3) 三 级 封锁 协议 。 

三 级 封锁 协议 是 一 级 封锁 协议 加 上 事务 T 在读 取 数据 R 之 前 必须 先 对 其 加 S 锁 , 直 到 
事务 结束 才 释 放 。 三 级 封锁 协议 除了 防止 丢失 修改 和 不 读 “ 脏 ”数据 外 ,还 进一步 防止 了 不 
可 重复 读 。 

上 述 三 级 协议 的 主要 区 别 在 于 什么 操作 需要 申请 封锁 ,以 及 何 时 释放 锁 ( 即 持 锁 时 间 ) 。 

6) 活 锁 和 死 锁 

封锁 的 方法 和 操作 系统 一 样 可 能 引起 活 锁 和 死 锁 。 

(1) 活 锁 。 

如 果 事务 Tl 封锁 了 数据 R, 事 务 T2 又 请 求 封锁 数据 R, 于 是 事务 T2 等 待 。 事 务 T3 
也 请 求 封 锁 数据 R, 当 事务 T1 释放 了 数据 R 上 的 封锁 之 后 系统 首先 批准 了 事务 T3 的 请 
求 ,事务 T2 仍然 等 待 。 然 后 事务 T4 又 请 求 封锁 R, 当 事务 T3 释放 了 数据 R 上 的 封锁 之 
后 系统 又 批准 了 事务 T4 的 请 求 …… 事 务 T2 有 可 能 永远 等 待 ,这 就 是 活 锁 的 情形 ,避免 活 
锁 的 简单 方法 是 采用 先 来 先 服务 的 策略 。 当 多 个 事务 请 求 封锁 同一 数据 对 象 时 ,封锁 子 系 
统 按 请 求 封锁 的 先后 次 序 对 事务 排队 ,数据 对 象 上 的 锁 一 旦 释放 就 批准 申请 队列 中 第 一 个 
事务 获得 锁 。 

(2) 死 锁 。 

封锁 技术 可 有 效 解决 并 行 操作 的 一 致 性 问题 ,但 也 可 产生 新 的 问题 , 即 死 锁 问 题 。 在 同 
时 处 于 等 待 状态 的 两 个 或 多 个 事务 中 ,其 中 的 每 一 个 在 它 能 够 进行 之 前 ,都 等 待 着 某 个 数 
据 ,而 这 个 数据 已 被 它们 中 的 某 个 事务 所 封锁 ,这 种 状态 称 为 死 锁 。 
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7) 预防 死 锁 的 方法 

死 锁 一 旦 发 生 , 系 统 效率 将 会 大 大 下 降 , 因 而 要 尽量 避免 死 锁 的 发 生 。 预 防 死 锁 的 方法 
有 多 种 ,常用 的 方法 有 以 下 两 种 : 

(1) 一 次 封锁 法 。 

每 个 事务 一 次 将 所 有 要 使 用 的 数据 全 部 依次 加 锁 , 并 要 求 加 锁 成 功 ,只 要 一 个 加 锁 不 成 
功 , 表 示 本 次 加 锁 失 败 , 则 应 该 立即 释放 所 有 已 加 锁 成 功 的 数据 对 象 ,然后 重新 开始 从 头 
加 锁 。 

(2) 顺序 封锁 法 。 

顺序 封锁 法 是 预先 对 所 有 可 加 锁 的 数据 对 象 规定 一 个 加 锁 顺序 ,每 个 事务 都 需要 按 此 
顺序 加 锁 , 在 释放 时 , 按 逆序 进行 。 

在 操作 系统 中 广 为 采 用 的 预防 死 锁 的 策略 并 不 适合 数据 库 的 特点 ,因此 DBMS 在 解决 
死 锁 的 问题 上 普遍 采用 的 是 诊断 并 解除 死 锁 的 方法 。 

数据 库 系统 中 诊断 死 锁 的 方法 与 操作 系统 类 似 , 一 般 使 用 超时 法 或 事务 等 待 图 法 。 

QO@ 超时 法 : 如 果 一 个 事务 的 等 待 时 间 超 过 了 规定 的 时 限 ,就 认为 发 生 了 死 锁 。 超 时 法 
实现 简单 ,但 其 不 足 也 很 明显 。 一 是 有 可 能 误 判 死 锁 ,事务 因为 其 他 原因 使 等 待 时 间 超 过 时 
限 ,系统 会 误 认 为 发 生 了 死 锁 。 二 是 时 限 若 设 置 得 太 长 , 死 锁 发 生 后 不 能 及 时 发 现 。 

@ 事务 等 待 图 法 : 事务 等 待 图 是 一 个 有 向 图 G=(T,U)。T 为 结 点 的 集合 ,每 个 结 点 
表示 正 运 行 的 事务 ; U 为 边 的 集合 ,每 条 边 表 示 事 务 等 待 的 情况 。 若 T1 等 待 T2, 则 T1， 
T2 之 间 划 一 条 有 向 边 , 从 Tl 指向 T2。 事 务 等 待 图 动态 地 反映 了 所 有 事务 的 等 待 情况 。 
并 发 控制 子 系统 周期 性 地 (比如 每 隔 1 min) 检 测 事务 等 待 图 ,如 果 发 现 图 中 存在 回路 , 则 表 
示 系 统 中 出 现 了 死 锁 。 

DBMS 的 并 发 控制 子 系统 一 旦 检测 到 系统 中 存在 死 锁 ,就 要 设法 解除 。 通 常 采用 的 方 
法 是 选择 一 个 处 理 死 锁 代 价 最 小 的 事务 ,将 其 撤销 ,释放 此 事务 持 有 的 所 有 的 锁 ,使 其 他 事 
务 得 以 继续 运行 下 去 。 当 然 , 对 撤销 的 事务 所 执行 的 数据 修改 操作 必须 加 以 恢复 。 


8. 数据 库 的 恢复 


虽然 数据 库 系统 中 已 采取 一 定 的 措施 ,来 防止 数据 库 的 安全 性 和 完整 性 的 破坏 ,保证 并 
发 事务 的 正确 执行 ,但 数据 库 中 的 数据 仍然 无 法 保证 绝对 不 遭受 破坏 ,比如 计算 机 系统 中 硬 
件 的 故障 、 软 件 的 错误 .操作 员 的 失误 ,恶意 的 破坏 等 都 有 可 能 发 生 , 这 些 故障 的 发 生 影响 数 
据 库 数据 的 正确 性 ,甚至 可 能 破坏 数据 库 ,使 数据 库 中 的 数据 全 部 或 部 分 丢失 。 

系统 必须 具有 检测 故障 并 把 数据 库 从 错误 状态 中 恢复 到 某 一 正确 状态 的 功能 ,这 就 是 
数据 库 的 恢复 。 

1) 数据 恢复 策略 

数据 库 运行 过 程 中 可 能 会 出 现 各 种 各 样 的 故障 ,这 些 故 障 可 分 为 以 下 三 类 : 事务 故障 、 
系统 故障 和 介质 故障 。 根 据 故 障 类 型 的 不 同 , 应 该 采取 不 同 的 恢复 策略 。 

(1) 事务 故障 的 恢复 。 

事务 故障 是 指 事务 在 运行 到 正常 结束 前 被 终止 ,这 时 恢复 子 系统 可 以 利用 日 志文 件 撤 
销 此 事务 对 数据 库 已 进行 的 修改 。 

日 志文 件 是 用 来 记录 事务 对 数据 库 的 更 新 操作 的 文件 。 日 志文 件 内 容 包括 事务 标识 
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(标明 是 哪个 事务 ) 、 操 作 类 型 ( 插 、 删 或 改 ) 、 操 作 前 后 的 数据 值 等 。 目 的 是 为 数据 库 的 恢复 
保留 详细 的 数据 。 

恢复 的 过 程 为 : 反 向 扫描 日 志文 件 并 执行 相应 操作 的 逆 操 作 事务 故障 的 恢复 是 由 系统 
自动 完成 的 ,对 用 户 是 透明 的 。 

(2) 系统 故障 的 恢复 。 

系统 故障 是 指 系统 在 运行 过 程 中 ,由 于 某 种 原因 ,造成 系统 停止 运转 ,致使 所 有 正在 运 
行 的 事务 都 以 非 正常 方式 终止 ,要 求 系统 重新 启动 。 

引起 系统 故障 的 原因 可 能 有 : 硬件 错误 (如 CPU 故障 ) ,操作 系统 或 DBMS 代码 错误 、 
突然 断 电 等 。 

系统 故障 的 恢复 是 系统 在 重启 时 自动 完成 的 ,不 须 用 户 干预 。 

恢复 过 程 为 : 正 向 扫描 日 志文 件 , 找 出 故障 发 生前 已 提交 的 事务 ,将 其 重 做 ; 同时 找 出 
故障 发 生 时 未 完成 的 事务 ,并 撤销 这 些 事务 。 

(3) 介质 故障 的 恢复 。 

介质 故障 是 指 系统 在 运行 过 程 中 ,由 于 辅助 存储 器 介质 受到 破坏 ,使 存储 在 外 存 中 的 数 
据 部 分 丢失 或 全 部 丢失 。 

介质 故障 发 生 后 ,磁盘 上 的 物理 数据 和 日 志文 件 均 遭 到 破坏 ,恢复 的 方法 是 首先 重 装 数 
据 库 ,使 数据 库 管 理 系统 能 正常 运行 ,然后 利用 介质 损坏 前 对 数据 库 已 做 的 备份 或 利用 镜像 
设备 恢复 数据 库 。 

2) 数据 恢复 的 方法 

(1) 数据 转 储 。 

将 整个 数据 库 进行 转 储 , 把 它 复 制 到 备份 介质 中 保存 起 来 ,这 些 备用 的 数据 库 文 件 称 为 
后 备 副 本 ,以 备 恢复 之 用 。 

转 储 通常 可 以 分 为 静态 转 储 和 动态 转 储 。 静 态 转 储 在 系统 中 无 运行 事务 时 进行 转 储 操 
作 , 转 储 开始 时 数据 库 处 于 一 致 性 状态 , 转 储 期 间 不 允许 对 数据 库 的 任何 存 取 ,修改 活动 。 
动态 转 储 在 转 储 期 间 允 许 对 数据 库 进行 存 取 或 修改 , 转 储 操作 与 用 户 事务 并 发 进行 。 动 态 
转 储 不 能 保证 副本 中 的 数据 正确 有 效 。 需 要 把 动态 转 储 期 间 各 事务 对 数据 库 的 修改 活动 登 
记 下 来 ,建立 日 志文 件 ,后 备 副本 加 上 日 志文 件 才能 把 数据 库 恢 复 到 某 一 时 刻 的 正确 状态 。 

(2) 利用 事务 日 志 。 

利用 事务 日 志 可 以 恢复 非 完 整 事务 。 从 非 完 整 事务 当前 值 按 事务 日 志 记 录 的 顺序 反 向 
执行 (Undo) ,直到 数据 库 恢 复 到 事务 开始 时 的 状态 为 止 。 


6.3.4 数据 容 灾 


1. 数据 容 灾 概 述 


1) 数据 容 灾 的 概念 

数据 容 灾 (Disaster Tolerance) ,就 是 在 灾难 发 生 时 ,在 保证 应 用 系统 的 数据 尽量 少 丢 失 
的 情况 下 ,维持 系统 业务 的 连续 运行 。 

与 数据 容 灾 比较 容易 混淆 的 概念 有 容错 和 灾难 恢复 。 容 错 是 指 在 计算 机 系统 软 硬 件 发 
生 故 障 时 ,保证 系统 能 继续 运行 的 能 力 ,主要 通过 硬件 元 余 和 错误 检查 等 技术 来 实现 ; 容 灾 
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是 通过 系统 元 余 、 灾 难 检测 和 系统 迁移 等 技术 来 实现 。 灾 难 恢复 是 指 灾难 发 生 后 ,系统 恢复 
正常 运行 的 能 力 ; 而 容 灾 指 灾难 发 生 时 保持 系统 不 间断 运行 的 能 力 。 

2) 数据 容 灾 的 分 类 

由 于 容 灾 包含 的 内 容 比 较 广 泛 , 对 容 灾 的 分 类 也 可 以 从 多 个 方面 进行 。 总 的 来 讲 , 可 以 
从 容 灾 的 范围 . 容 灾 的 技术 和 对 灾难 的 防御 程度 来 区 分 。 

从 容 灾 的 范围 讲 , 容 灾 分 成 本 地 容 灾 、 近 距离 容 灾 和 远 距 离 容 灾 。 这 三 种 容 灾 能 容忍 的 
灾难 是 不 相同 的 ,采用 的 容 灾 技 术 也 是 不 同 的 。 

目前 有 很 多 种 容 灾 技术 ,种 类 也 比较 复杂 。 但 总 体 上 可 以 区 分 为 离线 式 容 灾 ( 冷 容 灾 ) 
和 在 线 式 容 灾 ( 热 容 灾 ) 两 种 类 型 。 

Q@ 离线 式 容 灾 主 要 依靠 备份 技术 来 实现 。 首 先 通 过 备份 软件 将 数据 备份 到 磁带 上 , 然 
后 将 磁带 异地 保存 管理。 数据 的 备份 过 程 可 以 实现 自动 化 管理 ,整个 方案 的 部 署 和 管理 比 
较 简单 ,投资 较 少 。 缺 点 在 于 : 系统 的 数据 恢复 较 慢 ,备份 窗口 内 的 数据 丢失 严重 ,实时 性 
差 。 对 RTO(Recovery Time Objective) 和 RPO(Recovery Point Objective) 要求 较 低 的 用 
户 可 以 选择 这 种 方式 。 

@ 在 线 式 容 灾 中 , 源 数据 中 心 和 容 灾 中 心 同 时 工作 。 数 据 在 写 入 源 数据 中 心 的 同时 ， 
实时 地 被 复制 传送 到 容 灾 中 心 。 在 此 基础 上 ,可 以 在 应 用 层 进 行 集群 管理 , 当 业 务 中 心 遭 受 
灾难 、 出 现 故障 时 ,可 由 容 灾 中 心 自动 接管 并 继续 提供 服务 。 应 用 层 的 管理 一 般 由 专门 的 软 
件 来 实现 ,可 以 代替 管理 员 实 现 自动 管理 。 在 线 容 灾 可 以 实现 数据 的 实时 复制 ,因此 ,数据 
恢复 的 RTO 和 RPO 都 可 以 满足 用 户 的 高 要 求 。 因 此 ,数据 重要 性 很 高 的 用 户 都 应 选择 这 
种 方式 ,比如 金融 行业 的 用 户 等 。 实 现 这 种 方式 的 容 灾 需要 很 高 的 投入 。 

容 灾 备份 系统 按照 灾难 防御 程度 的 不 同 ,可 分 为 数据 容 灾 和 应 用 容 灾 。 

数据 容 灾 是 对 应 用 系统 数据 按照 一 定 的 策略 进行 异地 容 灾 备份 , 当 灾 难 发 生 时 ,应 用 系 
统 暂 时 无 法 正常 运行 ,必须 花费 一 定时 间 从 灾 备 中 心 恢 复 应 用 关键 数据 至 本 地 系统 以 保证 
业务 的 连续 性 和 数据 的 完整 性 ,因为 异地 容 灾 备份 系统 只 保存 了 灾难 发 生前 应 用 系统 的 备 
份 数据 ,因此 数据 容 灾 可 能 会 产生 部 分 数据 丢失 。 

应 用 容 灾 是 在 异地 建立 一 个 与 本 地 应 用 系统 相同 的 备份 应 用 系统 ,两 个 系统 同步 运行 ， 
当 灾 难 发 生 时 ,异地 系统 会 迅速 接管 本 地 系统 继续 业务 的 运行 .不 需要 中 断 业 务 , 这 样 使 得 
应 用 系统 使 用 者 察觉 不 到 灾难 的 发 生 。 应 用 容 灾 比 数据 容 灾 防御 灾难 破坏 能 力 要 强 , 它 能 
够 更 好 地 保持 业务 的 连续 性 和 数据 的 完整 性 ,而 数据 容 灾 会 出 现 业 务 的 暂时 中 断 ,需要 花费 
一 定 的 时 间 后 才能 重新 维持 业务 的 连续 性 ,并 且 可 能 产生 部 分 数据 的 丢失 。 

3) 容 灾 等 级 的 划分 

数据 容 灾 备份 是 通过 在 异地 建立 和 维护 一 个 存储 备份 系统 ,利用 地 理 上 的 分 离 来 保证 
系统 和 数据 对 灾难 性 事件 的 抵御 能 力 。 

根据 对 灾难 的 容忍 能 力 、 系 统 恢复 所 用 的 时 间 及 数据 丢失 的 程度 ,数据 容 灾 备份 系统 可 
以 分 为 七 个 等 级 。 

第 0 级 : 本 地 数据 容 灾 。 即 只 能 在 本 地 进行 数据 备份 ,数据 本 地 保存 。 当 灾难 发 生 时 ， 
只 有 很 低 的 灾难 恢复 能 力 ,而且 无 法 保证 业务 的 连续 性 。 

第 1 级 : 本 地 应 用 容 灾 。 当 因 磁 盘 损 坏 等 灾难 发 生 时 ,系统 能 够 迅速 切换 ,保证 业务 的 
连续 性 。 
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第 2 级: 异地 数据 冷 备份 。 将 本 地 关键 数据 进行 备份 ,并 送 往 异 地 保存 。 当 灾难 发 生 
时 ,对 系统 关键 数据 进行 恢复 。 该 级 别 的 数据 备份 成 本 低 , 但 存储 介质 难 管理 , 当 灾 难 出 现 
时 ,损失 的 数据 量 大 。 

第 3 级 : 异地 异步 数据 容 灾 。 在 异地 建立 一 个 数据 备份 站 点 ,通过 网 络 采用 异步 方式 
进行 数据 备份 。 当 灾难 发 生 时 ,利用 备份 站 点 的 数据 进行 恢复 。 它 与 第 2 级 别 的 灾难 容忍 
程度 相同 ,但 它 采 用 网 络 进行 数据 复制 ,两 站 点 数据 同步 程度 高 。 

第 4 级 : 异地 同步 数据 容 灾 。 在 异地 建立 一 个 数据 备份 站 点 ,通过 网 络 以 同步 方式 进 
行 数据 备份 。 当 灾难 发 生 时 ,数据 丢失 量 比 第 3 级 小 ,但 与 第 3 级 存在 同样 的 问题 ,就 是 数 
据 恢复 速度 慢 , 无 法 保证 业务 连续 性 。 

第 5 级: 异地 异步 应 用 容 灾 。 在 异地 建立 一 个 与 源 应 用 系统 完全 相同 的 备用 系统 ,并 
采用 异步 的 方式 进行 数据 同步 。 当 灾难 发 生 时 ,备用 系统 接 蔡 源 问题 系统 继续 工作 ,但 会 存 
在 少 了 数据 丢失 。 

第 6 级 : 异地 同步 应 用 容 灾 。 在 异地 建立 一 个 与 源 应 用 系统 完全 相同 的 备用 系统 ,并 
采用 同步 方式 进行 数据 复制 。 当 灾难 发 生 时 ,备用 系统 完全 接 蔡 源 问题 系统 进行 工作 ,并且 
可 以 实现 数据 零 丢 失 。 

4) 容 灾 系 统 的 指标 

从 技术 上 看 ,衡量 容 灾 系统 有 三 个 主要 指标 : RPO、RTO 和 备份 窗口 (backup 
window) 。 

(1) RPO(Recovery Point Objective) , 即 数据 恢复 点 目标 。 

(2) RTO(Recovery Time Objective) , 即 恢复 时 间 目 标 。 

(3) 备份 窗口 (backup window) ,一 个 备份 窗口 指 的 是 在 不 严重 影响 使 用 待 备份 数据 的 
应 用 程序 的 情况 下 ,完成 一 次 给 定 备份 的 时 间 间 隔 , 巾 需要 备份 数据 的 总 量 和 处 理 数 据 的 服 
务 架构 的 速度 来 决定 。 为 了 保证 备份 数据 的 一 致 性 ,在 备份 过 程 中 数据 不 能 被 更 改 ,所 以 在 
某 些 情况 下 ,备份 窗口 是 数据 和 应 用 不 可 用 的 间隔 时 间 。 

5) 容 灾 系统 评审 标准 

目前 ,国际 上 通用 的 容 灾 系统 的 评审 标准 为 Share78 ,其 主要 内 容 如 下 : 

(1) 备份 /恢复 的 范围 ; 

(2) 灾难 恢复 计划 的 状态 ; 

(3) 业务 中 心 与 容 灾 中 心 之 间 的 距离 ; 

(4) 业务 中 心 与 容 灾 中 心 之 间 如 何 相互 连接 ; 

(5) 数据 是 怎样 在 两 个 中 心 之 间 传 送 的 ; 

(6) 允许 有 多 少数 据 被 丢失 ; 

(7) 怎样 保证 更 新 的 数据 在 容 灾 中 心 被 更 新 ; 

(8) 容 灾 中 心 可 以 开始 容 灾 进程 的 能 力 。 

Share78 只 是 建立 容 灾 系 统 的 一 种 评审 标准 ,在 设计 容 灾 系统 时 ,还 需要 提供 更 加 具体 
的 设计 指标 。 建 立 容 灾 系统 的 最 终 目 的 ,是 为 了 在 灾难 发 生 后 能 够 以 最 快 的 速度 恢复 数据 
服务 ,所 以 , 容 灾 中 心 的 设计 指标 主要 与 容 灾 系统 的 数据 恢复 能 力 有 关 。 
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2. 数据 容 灾 技术 


传统 的 容 灾 技 术 通 常 指针 对 数据 业务 系统 的 灾难 采用 的 远程 备份 系统 技术 。 随 着 对 容 
灾 系 统 要 求 的 不 断 提 高 , 容 灾 技 术 也 不 断 进步 。 

一 般 地 说 ,在 容 灾 系统 中 ,实现 数据 容 灾 和 应 用 容 灾 可 以 采取 不 同 的 实现 技术 。 数 据 容 
灾 的 技术 主要 包括 数据 备份 技术 .数据 复制 技术 等 ,而 应 用 容 灾 技术 则 主要 包括 灾难 检测 技 
术 、 系 统 迁 移 技术 等 。 

1) 数据 备份 技术 

数据 备份 就 是 把 数据 从 业务 系统 备份 到 备份 系统 介质 中 的 过 程 。 数 据 备份 技术 最 初 是 
备份 到 本 地 磁带 , 随 着 网 络 技术 的 发 展 , 备 份 技术 也 有 了 飞速 的 进步 。 

(1) 主机 备份 。 

这 种 备份 就 是 传统 意义 上 的 基于 主机 (Host-based) 的 备份 。 主 机 负责 将 数据 备份 到 和 
主机 直接 相连 的 存储 介质 上 (一 般 是 磁带 )。 虽 然 这 种 备份 的 速度 快 ,管理 简单 ,但 是 仅 能 适 
应 于 单 台 服 务 器 备份 ,并 且 在 灾难 恢复 过 程 中 ,系统 恢复 的 时 间 长 。 

(2) 网 络 备 份 。 

随 着 网 络 的 发 展 , 传 统 的 主机 备份 渐渐 地 转向 了 网 络 备份 , 即 系统 中 备份 数据 的 传输 以 
网 络 为 基础 。 根 据 备份 系统 中 备份 服务 器 、 介 质 服务 器 是 否 在 同一 个 LAN 中 ,可 以 将 网 络 
备份 分 为 基于 局 域 网 的 备份 和 远程 网 络 备份 。 

@ 基于 局 域 网 的 备份 特点 是 应 用 服务 器 、 备 份 服务 器 和 介质 服务 器 共用 一 个 局 域 网 
络 , 备 份 服务 器 统一 管理 备份 的 过 程 ,多 个 应 用 服务 器 可 以 将 各 自 的 数据 备份 到 介质 服务 器 
上 。 这 种 备份 方式 可 以 共享 介质 资源 ,实现 集中 的 备份 管理 。 缺 点 是 对 网 络 带宽 和 备份 时 
间 的 压力 比较 大 ,并 且 不 具备 远程 的 容 灾 能 力 。 当 然 通过 将 介质 (磁盘 、 磁 带 或 光盘 ) 运 输 到 
远程 保存 ,可 以 具备 一 定 的 容 灾 能 力 。 

@ 远程 网 络 备份 , 则 是 介质 服务 器 与 应 用 服务 器 不 属于 同一 个 局 域 网 ,备份 服务 器 依 
然 统 一 管理 备份 的 过 程 ,备份 数 据 则 是 通过 WAN、ATM 或 者 Internet 等 公共 网 络 传送 到 
远程 的 介质 服务 器 上 。 这 种 备份 方式 基本 上 构成 了 一 个 异地 的 备份 容 灾 方 案 。 由 于 备份 数 
据 在 公共 网 络 上 传输 ,备份 的 速度 .备份 数据 的 完整 性 和 安全 性 等 方面 都 需要 考虑 。 

(3) 专 有 存储 网 络 备份 。 

当 存储 系统 成 为 一 个 独立 于 备份 系统 的 系统 之 后 ,特别 是 存储 局 域 网 (Storage Area 
Network,SAN) 的 发 展 , 使 得 备份 过 程 可 以 在 存储 局 域 网 中 实现 ,根据 备份 过 程 中 对 应 用 服 
务 器 的 影响 , 专 有 存储 网 络 备份 可 以 分 为 LAN-Free 备份 和 Server-Free 备份 。 

@D LAN-Free 备份 ,是 在 存储 网 络 (Storage Network) 之 上 建立 的 一 种 备份 系统 。 在 该 
备份 系统 中 ,业务 系统 的 存储 和 介质 服务 器 的 存储 直接 通过 专用 存储 网 络 进行 连接 ,在 备份 
过 程 中 ,庞大 的 备份 数据 不 经 过 主机 系统 所 在 的 网 络 ,而 是 通过 专用 的 存储 网 络 传输 到 介质 
上 。 这 种 备份 方式 的 优点 是 共享 介质 资源 ,实现 集中 管理 ,不 会 对 主机 系统 网 络 有 影响 。 缺 
点 是 实现 比较 复杂 ,成 本 相对 较 高 。 

@ Server-Free 备份 , 则 是 建立 在 存储 局 域 网 (Storage Area Network,SAN) 的 基础 上 ， 
备份 过 程 无 须 应 用 服务 器 参与 数据 传输 的 备份 系统 。 这 种 备份 方式 可 以 保证 业务 系统 及 其 
网 络 不 受 影响 。 目 前 这 种 备份 技术 还 不 太 成 熟 , 对 硬件 的 性 能 和 兼容 性 的 要 求 都 很 高 。 
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专用 存储 网 络 备份 更 多 关注 的 是 存储 系统 的 扩展 性 、 可 用 性 以 及 性 能 等 方面 的 因素 , 因 
此 存储 局 域 网 的 发 展 将 会 在 更 大 程度 上 提高 系统 的 数据 容 灾 能 力 。 

2) 数据 复制 技术 

和 数据 备份 相 比 ,数据 复制 技术 则 是 通过 不 断 将 业务 系统 的 数据 复制 到 另外 一 个 不 同 
的 备份 系统 中 ,以 保证 在 灾难 发 生 时 ,业务 系统 的 数据 丢失 量 最 少 。 

按照 备份 系统 中 数据 是 否 与 业务 系统 同步 ,数据 复制 可 以 分 成 同步 数据 复制 和 异步 数据 
复制 。 同 步 数据 复制 就 是 将 本 地 业务 系统 的 数据 以 完全 同步 的 方式 复制 到 备份 系统 中 。 由 于 
发 生 在 业务 系统 的 每 一 次 1/O 操作 都 需要 等 待 远程 复制 完成 才能 返回 ,这 种 复制 方式 虽然 可 
能 做 得 数据 的 零 丢 失 ,但 是 对 系统 的 性 能 有 很 大 的 影响 。 异 步 数 据 复制 则 是 将 本 地 业务 系统 
中 的 数据 在 后 台 异 步 地 复制 到 备份 系统 中 。 这 种 复制 方式 会 有 少量 的 数据 丢失 ,但 是 对 业 
务 系统 的 性 能 影响 较 小 。 根 据 数据 复制 的 层次 ,数据 复制 技术 的 实现 可 以 分 成 以 下 四 种 : 

(1) 存储 系统 数据 复制 。 

数据 的 复制 过 程 通过 本 地 的 存储 系统 和 远 端 的 存储 系统 之 间 的 通信 完成 。 这 种 方式 的 
复制 对 应 用 来 讲 是 透明 的 ,可 以 直接 实现 数据 容 灾 功能 ,也 可 以 提供 很 高 的 性 能 ,可 是 ,对 存 
储 系统 的 要 求 比较 高 。 

(2) 交换 层 数 据 复制 。 

这 种 方式 的 复制 技术 是 伴随 着 存储 局 域 网 的 出 现 引入 的 , 即 在 存储 局 域 网 的 交换 层 上 
实现 数据 复制 。 实 现 方式 可 以 通过 专 有 的 复制 服务 器 实现 ,也 可 以 通过 存储 局 域 网 (SAN) 
交换 机 ,将 数据 同步 地 复制 到 远 端 存储 系统 中 。 

(3) 操作 系统 层 数 据 复 制 。 

这 种 方式 主要 通过 操作 系统 或 者 数据 卷 管理 器 来 实现 对 数据 的 远程 复制 。 这 种 复制 技 
术 往往 要 求 本 地 系统 和 远 端 系统 是 同 构 的 ,并 且 由 于 数据 复制 由 主机 系统 完成 ,其 效率 和 管 
理 上 也 存在 不 少 问题 。 

(4) 应 用 程序 层 数 据 复制 。 

例如 数据 库 的 异地 复制 技术 ,通常 采用 日 志 复 制 功能 ,依靠 本 地 和 远程 主机 间 的 日 志 ! 
档 与 传递 来 实现 两 端的 数据 一 致 。 这 种 复制 技术 对 系统 的 依赖 性 小 ,有 很 好 的 兼容 性 。 缺 
点 是 本 地 应 用 程序 向 远 端 复制 的 是 日 志文 件 ,这 需要 远 端 应 用 程序 重新 执行 和 应 用 才能 产 
生 可 用 的 备份 数据 。 另 外 ,由 于 各 个 应 用 程序 采取 的 复制 技术 不 同 ,无 法 以 一 种 技术 实现 多 
种 应 用 的 数据 复制 。 

3) 灾难 检测 技术 

对 于 一 个 容 灾 系 统 来 讲 , 在 灾难 发 生 时 ,尽早 地 发 现 业务 系统 端的 灾难 ,尽快 地 恢复 业 
务 系统 的 正常 运行 或 者 尽快 地 将 业务 迁移 到 备用 系统 上 ,都 可 以 将 灾难 造成 的 损失 降低 到 
最 低 。 除 了 依靠 人 力 来 对 灾难 进行 确定 之 外 ,对 于 系统 意外 停机 等 灾难 还 需要 容 灾 系统 能 
够 自动 地 检测 灾难 的 发 生 , 目 前 容 灾 系 统 的 检测 技术 一 般 采 用 心跳 技术 。 

心跳 技术 的 实现 方法 是 : 业务 系统 在 空闲 时 每 隔 一 段 时 间 向 外 广播 一 下 自身 的 状态 。 
检测 系统 在 收 到 这 些 “ 心 跳 信 号” 之后, 便 认为 业务 系统 是 正常 的 ,否则 ,在 给 定 的 一 段 时 间 
内 没有 收 到 “心跳 信号 ”, 检 测 系统 便 认为 业务 系统 出 现 了 非 正常 的 灾难 。 心 跳 技 术 的 另外 
一 个 实现 是 : 每 隔 一 段 时 间 , 检 测 系 统 就 对 业务 系统 进行 一 次 检测 ,如 果 在 给 定 的 时 间 内 ， 
被 检测 的 系统 没有 响应 , 则 认为 被 检测 的 系统 出 现 了 非 正 常 的 灾难 。 心 跳 技 术 中 的 关键 点 
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是 心跳 检测 的 时 间 和 时 间 间 隔 周期 。 如 果 间 隔 周期 短 , 会 对 系统 带 来 很 大 的 开销 。 如 果 间 
隔 周期 长 , 则 无 法 及 时 地 发 现 故 障 。 

4) 系统 迁移 技术 

灾难 发 生 后 ,为 了 保持 业务 系统 的 业务 连续 性 ,需要 实现 系统 的 透明 性 迁移 ,利用 备用 
系统 透明 地 代替 业务 系统 进行 运作 。 一 般 对 实时 性 要 求 不 高 的 容 灾 系统 ,例如 Web 服务 、 
邮件 服务 器 等 ,可 以 通过 修改 DNS 或 者 IP 来 实现 ; 对 实时 性 要 求 高 的 容 灾 系统 , 则 需要 将 
业务 系统 的 应 用 透明 地 迁移 到 备用 系统 上 。 目 前 基于 本 地 机 群 的 进程 迁移 的 算法 可 以 应 用 
在 远程 容 灾 系 统 中 ,但 是 需要 对 迁移 算法 进行 改进 ,使 之 适应 复杂 的 网 络 环境 。 

上 述 几 种 技术 只 是 应 用 在 容 灾 系 统 中 最 广泛 的 技术 。 随 着 技术 的 更 新 发 展 ,现在 有 许 
多 的 技术 都 已 经 开始 应 用 于 容 灾 系统 ,例如 存储 技术 中 的 SAN NAS、 虚 拟 化 技术 和 快照 技 
术 、 持 续 数据 保护 (CDP) 等 等 ; 数据 管理 中 的 数据 归档 、 迁 移 和 内 容 存储 等 技术 ; 还 有 基于 
元 余 技术 和 机 群 技术 的 高 可 用 技术 等 等 。 这 些 技 术 的 引入 必 将 对 容 灾 系 统 产 生 深 远 的 
影响 。 


3. 容 灾 方案 的 应 用 方案 


目前 比较 完善 的 容 灾 系统 的 设计 ,一 般 都 为 三 级 体系 结构 的 容 灾 系统 ,整个 系统 包括 存 
储 子 系统 、 备 份子 系统 和 灾难 恢复 子 系统 三 大 部 分 。 

下 面 以 惠普 公司 生产 的 备份 服务 器 、 模 块 化 磁盘 阵列 、 备 份 磁带 库 和 相关 容 灾 软件 为 
例 , 介 绍 基于 三 级 体系 结构 建立 容 灾 系统 的 方案 。 

1) 数据 存储 子 系统 

在 正常 情况 下 ,业务 系统 运行 在 主 中 心服 务 器 上 ,业务 数据 存储 在 主 中 心 存储 磁盘 阵列 
EMA12000 中 。EMA12000 具有 从 12 个 磁盘 驱动 器 到 最 多 126 个 磁盘 驱动 器 的 扩展 能 
力 ,能 跨越 多 个 大 型 主机 和 混合 的 UNIX、 多 厂商 的 Windows NT、Windows 2000 以 及 其 他 
开放 系统 的 平台 。 

惠普 为 EMA12000 系统 设计 的 ASC 阵列 控制 软件 ,实现 了 对 跨 多 服务 器 平台 数据 的 
集中 式 控 制 ,使 数据 不 管 在 何 时 、 何 地 以 及 何 种 方式 需要 ,其 可 用 性 都 能 以 真正 的 零 停 机 时 
间 得 到 成 分 保证 。 

2) 数据 备份 子 系统 

为 了 实现 业务 数据 的 实时 灾难 备份 功能 ,关键 应 用 可 设置 两 个 数据 中 心 , 分 别 是 主 中心 
和 备份 中 心 。 主 中 心 系 统 配置 主机 包括 两 台 或 多 台 HP ALPHA 服务 器 以 及 其 他 相关 服务 
器 ,通过 构成 SCSI CLUSTER 组 成 多 机 高 可 靠 性 环境 。 主 中 心 通过 ATM/E3/WDM 与 备 
份 中 心 连接 。 

在 容 灾 系 统 解决 方案 中 ,正常 情况 下 ,业务 系统 运行 在 主 中 心服 务 器 上 ,业务 数据 存储 
在 主 中 心 存储 磁盘 阵列 EMA12000 中 ,同时 在 备份 中 心 配置 EMA12000 存储 磁盘 阵列 。 
主 中 心 存储 磁盘 阵列 通过 ATM/E3/ WDM 连接 到 备份 中 心 磁盘 阵列 ,DRM( 数 据 复 制 管理 
器 ) 使 主 中 心 存储 数据 与 备份 中 心 数据 保持 实时 完全 一 致 。 

3) 灾难 恢复 子 系统 

方案 中 ,备份 数据 的 磁带 库 安 置 在 备份 中 心 , 利 用 备份 服务 器 直接 连接 到 存储 阵列 
EMA12000 和 磁带 库 TL895 ,通过 EBS( 企 业 数 据 备份 ) 和 Legato NetWorker 数据 存储 管 
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理 系统 控制 系统 的 备份 。 万 一 主 数据 中 心 出 现 意外 灾难 ,系统 可 以 自动 切换 到 备份 数据 中 
心 , 在 保持 连续 运行 的 基础 上 ,快速 恢复 主 数据 中 心 的 业务 数据 。 

该 套 三 级 体系 容 灾 方 案 具 有 高 度 的 可 用 性 。 第 一 级 ,为 了 避免 系统 单 点 失败 而 影响 整 
个 系统 的 情况 出 现 , 采 用 了 宛 余 的 手段 ,大 到 主机 ,存储 设备 ,小 到 光纤 适配器 , 均 具 备 完 余 
容错 功能 ; 第 二 级 ,无 论 是 主机 或 存储 设备 出 现 故 障 , 均 可 通过 主 /备份 中 心 光纤 交换 机 之 
间 的 连接 来 保证 通信 和 数据 的 完整 性 ; 第 三 级 ,万 一 主 数 据 中 心 出 现 意外 灾难 ,系统 可 以 自 
动 切换 到 备份 数据 中 心 。 三 级 体系 的 科学 设计 保证 了 数据 容 灾 系统 的 高 度 可 用 性 和 可 
靠 性 。 

不 仅 如 此 ,惠普 独 有 的 HP OpenView 网 络 设备 管理 软件 从 根本 上 将 系统 管理 人 员 解 
脱出 来 。 整 个 系统 的 设备 虽然 很 多 ,但 不 论 是 主机 系统 、 存 储 设备 ,还 是 光纤 交换 机 、 光 纤 
卡 , 均 能 通过 一 台 工 作 站 进行 集中 的 管理 和 监控 ,从 另 一 个 方面 保证 了 整个 业务 系统 的 连续 
不 断 地 运行 。 除 正常 的 计划 性 停机 外 ,该 系统 可 以 做 到 365X24 的 可 用 性 。 


6.4 数据 隐私 保护 


6.4.1 隐私 保护 概述 
1. 隐私 的 定义 


简单 地 说 ,隐私 就 是 个 人 、 机 构 等 实体 不 愿意 被 外 部 世界 知晓 的 信息 。 在 具体 应 用 中 ， 
隐私 即 为 数据 所 有 者 不 愿意 被 披露 的 敏感 信息 ,包括 敏感 数据 以 及 数据 所 表征 的 特性 。 通 
常 我 们 所 说 的 隐私 都 指 敏 感 数据 ,如 个 人 的 亲属 、 薪 资 \ 病 人 的 患 病 记录 、 公 司 的 财务 信息 
等 。 但 当 针 对 不 同 的 数据 以 及 数据 所 有 者 时 ,隐私 的 定义 也 会 存在 差别 的 。 保 守 的 病人 会 
视 某 种 疾病 (例如 患 癌症 ) 信 息 为 隐私 ,而 开放 的 病人 却 不 视 之 为 隐私 。 

一 般 来 说 ,从 隐私 所 有 者 的 角度 而 言 ,隐私 可 以 分 为 两 类 , 即 个 人 隐私 、 共 同 隐私 ; 从 隐 
私 的 具体 内 容 来 分 类 ,隐私 又 可 以 分 为 三 类 , 即 数据 隐私 、 位 置 隐私 、 轨 迹 隐私 。 

1) 个 人 隐私 

个 人 隐私 (Individual privacy) 是 指 任何 可 以 确认 特定 个 人 或 与 可 确认 的 个 人 相关 、 但 
个 人 不 愿 被 暴露 的 信息 ,都 叫做 个 人 隐私 ,如 身份 证 号 、 医 疗 记录 等 。 

2) 共同 隐私 

共同 隐私 (Corporate privacy) 不 仅 包含 个 人 的 隐私 ,还 包含 所 有 个 人 共同 表现 出 来 但 
不 愿 被 暴露 的 信息 。 如 公司 员工 的 平均 薪资 .薪资 分 布 等 信息 。 


2. 隐私 的 度量 


数据 隐私 保护 的 效果 ,是 由 通过 攻击 者 披露 隐私 的 多 少 来 侧面 反映 的 。 现 有 的 隐私 度 
量 都 可 以 统一 用 “披露 风险 ”(Disclosure Risk) 来 描述 。 披 露 风险 表示 攻击 者 根据 所 发 布 的 
数据 和 其 他 背景 知识 (Background Knowledge) ,可 能 披露 隐私 的 概率 。 通 常 , 关 于 隐私 数 
据 的 背景 知识 越 多 ,披露 风险 越 大 。 

若 * 表示 敏感 数据 ,事件 Se 表示 ”攻击 者 在 背景 知识 KK 的 帮助 下 揭露 敏感 数据 *”, 则 披 


第 6 章 ”应 用 层 安全 技术 


露 风险 r(s,K) 表 示 为 : 
r(s,K) = Pr(S,) 

对 数据 集 而 言 ,车 数据 所 有 者 最 终 发 布 数 据 集 D 的 所 有 敏感 数据 的 披露 风险 都 小 于 阅 
值 c,cE[0o,1], 则 称 该 数据 集 的 披露 风险 为 <。 例如 ,静态 数据 发 布 原则 Ldiversity 保证 发 
布 数据 集 的 披露 风险 小 于 1/1, 动 态 数 据 发 布 原则 m-Invariance 保证 发 布 数据 集 的 披露 风 
险 小 于 1/m。 

特别 地 ,不 做 任何 处 理 所 发 布 数据 集 的 披露 风险 为 1; 当 所 发 布 数据 集 的 披露 风险 为 0 
时 ,这 样 发 布 的 数据 被 称 为 实现 了 完美 隐私 (Perfect Privacy) 。 完 美 隐私 实现 了 对 隐私 最 大 
程度 的 保护 ,但 由 于 对 攻击 者 先 验 知识 的 假设 本 身 是 不 确定 的 ,因此 实现 对 隐私 的 完美 保护 
也 只 在 具体 假设 ,特定 场景 下 成 立 ,真正 的 完美 保护 并 不 存在 。 


3. 数据 隐私 保护 技术 的 分 类 


没有 任何 一 种 隐私 保护 技术 能 够 适用 于 所 有 的 应 用 。 本 书 将 数据 隐私 保护 技术 分 为 
三 类 

1) 基于 数据 失真 (Distorting) 的 技术 

基于 数据 失真 的 技术 是 使 敏感 数据 失真 但 同时 保持 某 些 数据 或 数据 属性 不 变 的 方法 。 
例如 ,采用 添加 噪声 (Adding Noise) 、 交 换 (Swapping) 等 技术 对 原始 数据 进行 扰动 处 理 , 但 
要 求 保 证 处 理 后 的 数据 仍然 可 以 保持 某 些 统计 方面 的 性 质 , 以 便 进 行 数 据 挖掘 等 操作 。 

2) 基于 数据 加 密 的 技术 

基于 数据 加 密 的 技术 是 采用 加 密 技 术 在 数据 挖掘 过 程 中 隐藏 敏感 数据 的 方法 。 多 用 于 
分 布 式 应 用 环境 中 ,如 安全 多 方 计 算 (Secure Multiparty Computation, SMC)。 

3) 基于 限制 发 布 的 技术 

基于 限制 发 布 的 技术 是 根据 具体 情况 有 条 件 地 发 布 数据 。 如 : 不 发 布 数据 的 某 些 域 
值 ,数据 泛 化 (Generalization) 等 。 

此 外 ,许多 隐私 保护 的 新 技术 ,由 于 其 融合 了 多 种 技术 ,很 难 将 其 简单 地 归 到 以 上 某 一 
类 ,但 它们 在 利用 某 类 技术 的 优势 的 同时 ,将 不 可 避免 的 引入 其 他 的 缺陷 。 基 于 数据 失真 的 
技术 ,效率 比较 高 ,但 却 存在 一 定 程度 的 信息 丢失 ; 基于 加 密 的 技术 则 刚好 相反 , 它 能 保证 
最 终 数 据 的 准确 性 和 安全 性 ,但 计算 开销 比较 大 ; 而 限制 发 布 技术 的 优点 是 能 保证 所 发 布 
的 数据 一 定 真 实 , 但 发 布 的 数据 会 有 一 定 的 信息 丢失 。 


4. 隐私 保护 技术 的 性 能 评估 


隐私 保护 技术 需要 在 保护 隐私 的 同时 ,兼顾 对 应 用 的 价值 以 及 计算 开销 。 通 常 从 以 下 
三 方面 对 隐私 保护 技术 进行 度量 : 

1) 隐私 保护 度 

隐私 保护 度 通常 通过 发 布 数据 的 披露 风险 来 反映 ,披露 风险 越 小 ,隐私 保护 度 越 高 。 

2) 数据 缺损 

数据 缺损 是 对 发 布 数据 质量 的 度量 。 它 反映 通过 隐私 保护 技术 处 理 后 数据 的 信息 丢 
失 ,数据 缺损 越 高 ,信息 丢失 越 多 ,数据 利用 率 (Uftility) 越 低 。 有 具体 的 度量 有 信息 缺损 
(Information Loss) 、 重 构 数 据 与 原始 数据 的 相似 度 等 。 


265 


YY 


266 


Nt 


物 联 网 安全 技术 


3) 算法 性 能 

算法 性 能 一 般 利 用 时 间 复 杂 度 对 算法 性 能 进行 度量 。 例 如 ,采用 抑制 (Suppression) 实 
现 最 小 化 的 匿名 问题 已 经 证 明 是 NP-hard 问题 ; 时 间 复 杂 度 为 O(k) 的 近似 k- 匿 名 算法 ， 
显然 优 于 复杂 度 为 O(klogk) 的 近似 算法 。 均 摊 代 价 (Amortized Cost) 是 一 种 类 似 于 时 间 复 
杂 度 的 度量 , 它 表 示 算 法 在 一 段 时 间 内 平均 每 次 操作 所 花费 的 时 间 代 价 。 除 此 之 外 ,在 分 布 
式 环境 中 ,通信 开销 (Communication Cost) 也 常常 关系 到 算法 性 能 , 常 作为 衡量 分 布 式 算法 
性 能 的 一 个 重要 指标 。 


6.4.2 基于 数据 失真 的 隐私 保护 技术 


数据 失真 技术 通过 扰动 (Perturbation) 原 始 数据 来 实现 隐私 保护 。 它 要 使 扰动 后 的 数 
据 同时 满足 : 

(1) 攻击 者 不 能 发 现 真 实 的 原始 数据 。 也 就 是 说 ,攻击 者 通过 发 布 的 失真 数据 不 能 重 
构 出 真实 的 原始 数据 。 

(2) 失真 后 的 数据 仍然 保持 某 些 性 质 不 变 , 即 利用 失真 数据 得 出 的 某 些 信息 等 同 于 从 
原始 数据 上 得 出 的 信息 。 这 就 保证 了 基于 失真 数据 的 某 些 应 用 的 可 行 性 。 

当前 ,基于 数据 失真 的 隐私 保护 技术 包括 随机 化 阻塞 (Blocking)、 交 换 、 凝 聚 
(Condensation) 等 。 一 般 地 , 当 进行 分 类 器 构建 和 关联 规则 挖掘 ,而 数据 所 有 者 又 不 希望 发 
布 真实 数据 时 ,可 以 预先 对 原始 数据 进行 扰动 后 再 发 布 。 


1. 随机 化 


数据 随机 化 即 是 对 原始 数据 加 入 随机 噪声 ,然后 发 布 扰动 后 数据 的 方法 。 需 要 注意 的 
是 ,随意 对 数据 进行 随机 化 并 不 能 保证 数据 和 隐私 的 安全 ,因为 利用 概率 模型 进行 分 析 常 常 
能 披露 随机 化 过 程 的 众多 性 质 。 随 机 化 技术 包括 两 类 : 随机 扰动 (Random Perturbation) 和 
随机 化 应 答 (Randomized Response) 。 

1) 随机 扰动 

随机 扰动 采用 随机 化 过 程 来 修改 敏感 数据 ,从 而 实现 对 数据 隐私 的 保护 。 

对 外 界 而 言 , 只 可 见 扰动 后 的 数据 ,从 而 实现 了 对 真实 数据 值 的 隐藏 。 但 扰动 后 数据 仍 
然 保留 着 原始 数据 分 布 X 的 信息 ,通过 对 扰动 后 的 数据 进行 重 构 , 可 以 恢复 原始 数据 分 布 
X 的 信息 。 但 不 能 重 构 原始 数据 的 精确 值 x1 .x2,… ,xn。 

随机 扰动 技术 可 以 在 不 暴露 原始 数据 的 情况 下 进行 多 种 数据 挖掘 操作 。 由 于 通过 扰动 
数据 重 构 后 的 数据 分 布 几乎 等 同 于 原始 数据 的 分 布 ,因此 利用 重 构 数 据 的 分 布 进行 决策 树 
分 类 器 训练 后 ,得 到 的 决策 树 能 很 好 地 对 数据 进行 分 类 。 在 关联 规则 挖掘 中 ,通过 往 原始 数 
据 注入 大 量 伪 项 (False Item) 来 对 频繁 项 集 进行 隐藏 ,再 通过 在 随机 扰动 后 的 数据 上 估计 项 
集 支 持 度 , 从 而 发 现 关 联 规则 。 除 此 之 外 ,随机 扰动 技术 还 可 以 应 用 到 OLAP 上 实现 对 隐 
私 的 保护 。 

2) 随机 化 应 答 

随机 化 应 答 的 基本 思想 是 : 数据 所 有 者 对 原始 数据 扰动 后 发 布 , 使 攻击 者 不 能 以 高 于 
预定 阔 值 的 概率 得 出 原始 数据 是 否 包含 某 些 真实 信息 或 伪 信 息 。 虽 然 发 布 的 数据 不 再 真 
实 , 但 在 数据 量 比 较 大 的 情况 下 ,统计 信息 和 汇聚 (Aggregate) 信 息 仍然 可 以 较为 精确 地 被 
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估算 出 。 随 机 化 应 答 技术 与 随机 扰动 技术 的 不 同 之 处 在 于 敏感 数据 是 通过 一 种 应 答 特 定 问 
题 的 方式 间接 提供 给 外 界 的 。 

随机 化 应 答 模型 有 两 种 : 相关 问题 模型 (Related-Question Model) 和 非 相 关 问 题 模型 
(Unrelated-Question Model) 。 相 关 问 题 模型 是 通过 设计 两 个 关于 敏感 数据 的 对 立 问题 ， 
如 : 我 含有 敏感 值 A ”我 没有 敏感 值 A。 

数据 所 有 者 根据 自己 拥有 的 数据 随机 选取 一 个 问题 进行 应 答 ,但 不 让 提问 者 知道 回答 
的 具体 问题 。 当 大 量 数据 所 有 者 进行 回答 后 ,通过 计算 可 以 得 出 含有 敏感 值 的 应 答 者 比例 
和 不 含 敏 感 值 应 答 者 的 比例 。 假 设 应 答 者 随机 选取 含有 敏感 值 A 的 概率 为 0, 则 以 下 等 式 
成 立 : 


Px (A = yes) P(A = 三 yes)。0 十 P(A 王 no)。(1 一 0) 

Px*(A 一 no) 一 P(A 王 no)。0 十 P(A 王 yes)。(1 一 0) 
其 中 Px (A 二 yes) 是 回答 中 yes 的 比例 ,PC(A=yes) 是 含有 敏感 值 A 的 数据 所 有 者 的 比例 。 
通过 以 上 两 个 等 式 ,联合 对 所 有 应 答 进 行 估计 得 出 的 P* (A 二 yes) 和 Px (A 二 no), 可 以 得 
到 含有 (或 不 含有 ) 敏 感 值 A 的 数据 所 有 者 比例 P(A 二 yes)( 或 P(A 二 no))。 

在 这 整个 过 程 中 ,由 于 不 能 确定 与 应 答 者 回答 的 相关 问题 ,因此 不 能 确定 其 是 否 含有 敏 
感 数据 值 。 由 于 基于 随机 化 应 答 技术 采用 应 答 模 式 提 供 信 息 , 因 此 多 用 于 处 理 分 类 数据 
(Categorical Data) 。 

MASK(Mining Associations with Secrecy Konstraints) 是 一 种 基于 随机 化 应 答 技 术 的 
布尔 关联 规则 挖掘 算法 。 它 利用 预先 定义 的 分 布 函 数 产 生 随 机 数 并 对 原始 数据 进行 扰动 ， 
数据 使 用 者 基于 扰动 数据 ,结合 应 答 信 息 对 数据 进行 重 构 , 在 此 基础 上 ,估计 出 项 集 的 支持 
度 从 而 找 出 频繁 项 集 。 


2. 凝聚 技术 


随机 化 技术 一 个 不 可 避免 的 缺点 是 : 针对 不 同 的 应 用 都 需要 设计 特定 的 算法 对 转换 后 
的 数据 进行 处 理 ,因为 所 有 的 应 用 都 需要 重建 数据 的 分 布 。 针 对 这 一 缺点 ,人 研究 者 提出 了 凝 
聚 技术 ,即将 原始 数据 记录 分 成 组 ,每 一 组 内 存储 由 k 条 记录 产生 的 统计 信息 ,包括 每 个 属 
性 的 均值 、 协 方差 等 。 这 样 ,只 要 是 采用 凝聚 技术 处 理 的 数据 ,都 可 以 用 通用 的 重 构 算法 进 
行 处 理 , 并 且 重 构 后 的 记录 并 不 会 披露 原始 记录 的 隐私 ,因为 同一 组 内 的 k 条 记录 是 两 两 不 
可 区 分 的 。 


3. 阻塞 技术 


与 随机 化 技术 修改 数据 提供 非 真实 数据 的 方法 不 同 , 阻 塞 技术 采用 的 是 不 发 布 某 些 特 
定数 据 的 方法 ,因为 某 些 应 用 更 希望 基于 真实 数据 进行 研究 。 阻 塞 技术 具体 反应 到 数据 表 
中 , 即 是 将 某 些 特定 的 值 用 一 个 不 确定 符号 代替 。 例 如 ,通过 引入 除 {0,1} 外 的 代表 不 确定 
值 的 符号 ?可 以 实现 对 布尔 关联 规则 的 隐藏 。 由 于 某 些 值 被 “?" 代 蔡 ,那么 对 某 些 数据 项 
集 的 计数 则 为 一 个 不 确定 的 值 ,位 于 一 个 最 小 估计 值 和 最 大 估计 值 范围 内 。 因 此 ,对 于 敏感 
关联 规则 的 隐藏 即 是 设计 一 种 算法 ,在 阻塞 尽量 少 的 数据 值 情况 下 ,将 敏感 关联 规则 可 能 的 
支持 度 和 置信 和 度 控制 在 预定 的 阅 值 以 下 。 类 似 于 对 关联 规则 的 隐藏 ,利用 阻塞 技术 还 可 以 
实现 对 分 类 规则 的 隐藏 。 
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6.4.3 基于 数据 加 密 的 隐私 保护 技术 


在 分 布 式 环境 下 实现 隐私 保护 ,要 解决 的 重要 问题 是 通信 的 安全 性 ,而 加 密 技 术 正 好 满 
足 这 个 需求 。 因 此 ,基于 数据 加 密 的 隐私 保护 技术 多 用 于 分 布 式 应 用 中 ,如 分 布 式 数据 挖 
据 、 分 布 式 安全 查询 、 几 何 计算 、 科 学 计算 等 。 在 分 布 式 环境 下 ,具体 应 用 通常 会 依赖 于 数据 
的 存储 模式 和 站 点 (Site) 的 可 信和 度 及 其 行为 。 

分 布 式 应 用 通常 采用 两 种 模式 存储 数据 : 水 平 划分 (Horizontally Partitioned) 的 数据 
模式 和 垂直 划分 (Vertically Partitioned) 的 数据 模式 。 水 平 划分 数据 是 将 数据 记录 存储 到 
分 布 式 环境 中 的 多 个 站 点 ,所 有 站 点 存储 的 数据 不 重复 ; 垂直 划分 数据 是 指 分 布 式 环境 中 
每 个 站 点 只 存储 部 分 属性 的 数据 ,所 有 站 点 存储 的 数据 不 重复 。 

对 分 布 式 环境 下 的 站 点 (参与 者 ) ,根据 其 行为 可 以 分 为 准 诚信 攻击 者 (Semi-honest 
Adversary) 和 恶意 攻击 者 (Malicious Adversary) 。 准 诚信 攻击 者 是 遵守 相关 计算 协议 但 仍 
试图 进行 攻击 的 站 点 ; 恶意 攻击 者 是 不 遵守 协议 且 试 图 披露 隐私 的 站 点 。 一 般 地 ,假设 所 
有 站 点 为 准 诚信 攻击 者 。 


1. 安全 多 方 计算 


在 众多 分 布 环境 下 ,基于 隐私 保护 的 数据 挖掘 应 用 都 可 以 抽象 为 无 信任 第 三 方 
(Trusted Third Party) 参 与 的 SMC 问题 , 即 怎样 使 两 个 或 多 个 站 点 通过 某 种 协议 完成 计算 
后 ,每 一 方 都 只 知道 自己 的 输入 数据 和 所 有 数据 计算 后 的 最 终结 果 。 

以 在 分 布 式 下 计算 集合 的 并 运算 为 例 : 假设 有 N 个 独立 站 点 S ,Ss，,…,Sw ,站 点 S; 拥 
有 数据 D;, 这 N 个 站 点 可 以 在 不 暴露 每 个 站 点 具体 数据 情况 下 计算 出 来 。 

可 以 证 明 , 由 于 采用 了 可 交换 加 密 技术 的 顺序 无 关 性 ,在 整个 求 集合 并 集 的 过 程 中 , 除 
了 集合 交集 的 大 小 和 最 终结 果 被 披露 外 ,没有 其 他 私有 信息 泄露 ,所 以 该 计算 集合 并 运算 的 
方法 是 安全 的 。 

由 于 多 数 SMC 都 基于 “ 准 诚信 模型 假设 之 上 ,因此 应 用 范围 有 限 。SCAMD(Secure 
Centralized Analysis of Multi-party Data) 协 议 在 去 除 该 假设 基础 上 ,引入 准 诚信 第 三 方 来 
实现 当 站 点 都 是 恶意 时 进行 安全 多 方 计算 ; 有 些 研 究 者 提出 抛弃 传统 分 布 式 环境 下 对 站 点 
行为 约束 的 假设 , 转 而 根据 站 点 的 动机 ,将 站 点 分 为 弱 恶 意 攻击 者 和 强 恶意 攻击 者 ,用 可 交 
换 加 密 技 术 解 决 在 分 布 环境 下 的 信息 共享 问题 。 


2. 分 布 式 匿名 化 


匿名 化 即 是 隐藏 数据 或 数据 来 源 。 对 大 多 数 应 用 而 言 , 首 先 需 要 对 原始 数据 进行 处 理 
以 保证 敏感 信息 的 安全 ; 然后 再 在 此 基础 上 ,进行 数据 挖掘 发布 等 操作 。 分 布 式 环境 下 的 
数据 匿名 化 ,都 面临 在 通信 时 如 何 既 保证 站 点 数据 隐私 又 能 收集 到 足够 的 信息 ,来 实现 利用 
率 尽量 大 的 数据 匿名 的 问题 。 

分 布 式 匿 名 化 利用 可 交换 加 密 在 通信 过 程 中 隐藏 原始 信息 ,再 构建 完整 的 匿名 表 判 断 
是 否 满足 姑 匿 名 条 件 来 实现 。 

在 水 平 划分 的 数据 环境 中 ,可 以 通过 引入 第 三 方 ,利用 满足 以 下 性 质 的 密 钥 来 实现 数据 
的 人 大 匿名 化 。 每 个 站 点 加 密 私 有 数据 并 传递 给 第 三 方 , 当 且 仅 当 有 条 数据 记录 的 准 标志 
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符 属 性 值 相同 时 ,第 三 方 的 密 钥 才能 解密 这 条 数据 记录 。 

更 一 般 地 ,不 考虑 数据 的 具体 存储 模式 ,一 种 能 确保 分 布 式 环境 下 隐私 安全 的 模型 是 
k-TTP(k-Trusted Third Party)。k-TTP 利用 信任 第 三 方 ,确保 了 当 且 仅 当 至 少 有 上 个 站 
点 的 信息 改变 时 ,所 有 站 点 的 相关 统计 信息 才能 被 披露 。k-TTP 模型 的 约束 ,使 我 们 不 能 
揭露 少 于 k 个 站 点 的 统计 信息 。 

由 于 分 布 式 固有 的 复杂 性 ,实现 分 布 式 数据 匿名 化 的 主要 挑战 是 解决 数据 分 散 、 站 点 自 
治 、 安 全 通信 等 之 间 的 矛盾 和 冲突 。 


3. 分 布 式 关 联 规则 挖掘 


在 分 布 式 环境 下 ,关联 规则 挖掘 的 关键 是 计算 项 集合 的 全 局 计数 ,加 密 技 术 能 保证 在 计 
算 项 集合 计数 的 同时 ,不 会 泄露 隐私 信息 。 

例如 ,在 数据 垂直 划分 的 分 布 式 环 境 中 ,需要 解决 的 问题 是 : 如 何 利用 分 布 在 不 同 站 点 
的 数据 计算 项 集合 (Item Set) 计 数 , 找 出 支持 度 大 于 阔 值 的 频繁 项 集 。 此 时 ,计算 项 集合 计 
数 的 问题 被 简化 为 在 保护 隐私 数据 的 同时 ,在 不 同 站 点 间 计 算 标 量 积 的 问题 。 已 有 计算 标 
量 积 的 方法 包括 引入 随机 向 量 进行 安全 计算 或 用 随机 数 代替 真实 值 ,然后 用 代数 方法 进行 
计算 等 。 


4. 分 布 式 聚 类 


基于 隐私 保护 的 分 布 式 聚 类 的 关键 是 安全 地 计算 数据 间 的 距离 ,有 以 下 两 种 常用 模型 ; 

1) Naive 聚 类 模型 

各 个 站 点 将 数据 用 加 密 安全 的 信道 传递 给 信任 第 三 方 ,再 由 信任 第 三 方 进行 聚 类 后 返 
回 结果 。 

2) 多 次 聚 类 模型 

首先 各 个 站 点 对 本 地 数据 进行 聚 类 并 发 布 结果 ,再 通过 对 各 个 站 点 发 布 的 结果 进行 二 
次 处 理 , 实 现 分 布 式 聚 类 。 

无 论 哪 种 分 布 式 聚 类 模型 ,都 利用 了 加 密 技 术 以 实现 信息 的 安全 传输 。 当 然 , 还 有 基于 
隐私 保护 的 其 他 分 布 式 聚 类 方法 ,如 在 任意 划分 数据 的 环境 下 的 k-mean 聚 类 算法 ,通过 引 
入 随机 数 来 保证 安全 传输 的 最 大 期 望 (Expectation Maximization) 聚 类 算法 等 。 


6.4.4 基于 限制 发 布 的 隐私 保护 技术 


限制 发 布 即 是 有 选择 的 发 布 原始 数据 ,不 发 布 或 者 发 布 精度 较 低 的 敏感 数据 ,以 实现 隐 
私 保 护 。 这 类 技术 研究 的 重点 是 “数据 匿名 化 ”, 即 在 隐私 披露 风险 和 数据 精度 间 进 行 折 中 ， 
有 选择 地 发 布 敏感 数据 及 可 能 披露 敏感 数据 的 信息 ,但 保证 对 敏感 数据 及 隐私 的 披露 风险 
在 可 容忍 范围 内 。 

数据 匿名 化 一 般 采 用 两 种 基本 操作 , 即 抑制 和 泛 化 。 

抑制 是 抑制 某 数据 项 , 即 不 发 布 该 数据 项 ; 泛 化 则 是 对 数据 进行 更 概括 、 抽 象 的 描述 。 
比如 ,对 整数 5 的 一 种 泛 化 形式 是 [3,6], 因 为 5 在 区 间 [3.,6] 内 。 
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1. 数据 匿名 化 的 原则 


数据 匿名 化 所 处 理 的 原始 数据 ,如 医疗 数据 、 统 计数 据 等 ,一 般 为 数据 表 形 式 。 表 中 每 
一 条 记录 (或 每 一 行 ) 对 应 一 个 个 人 ,包含 多 个 属性 值 。 这 些 属性 可 以 分 为 如 下 三 类 。 

(1) 显 式 标 识 符 (Explicit Identifier) : 能 唯一 标识 单一 个 体 的 属性 ,如 身份 证 号 码 、 姓 
名 等 。 

(2) 准 标识 符 (Quasi-Identifiers): 联合 起 来 能 唯一 标识 一 个 人 的 多 个 属性 ,如 邮编 、 生 
日 ,性 别 等 联合 起 来 则 可 能 是 准 标识 符 。 

(3) 敏感 属性 (Sensitive Attribute) : 包含 隐私 数据 的 属性 ,如 疾病 .薪资 等 。 

例如 ,如 表 6-2 所 示 为 一 原始 医疗 数据 ,每 一 条 记录 对 应 一 个 唯一 的 病人 ,其 中 {“ 姓 
名 ”) 为 显 式 标识 符 属性 ,{“ 年 龄 ”", “性别” “邮编”)} 为 准 标识 符 属 性 , 1“ 疾病 ”为 敏感 属性 。 
如 表 6-3 所 示 则 是 匿名 化 数据 。 


表 6-2 原始 数据 
姓 名 年 龄 性 别 邮 编 疾 病 
Andy 4 M 12000 胃 溃 疡 
Bill 5 M 14000 消化 不 良 
Ken 6 M 18000 肺炎 
Nash 9 M 19000 支气管 炎 
Alice 12 F 22000 流感 
Betty 19 F 24000 肺炎 
表 6-3 匿名 化 数据 
年 龄 性 别 邮 编 疾 病 
[1,5] M [10k,15k] 胃 溃 疡 
[1,5] M [lok,15k] 消化 不 良 
[6,10] M [15k,20k] 肺炎 
[6,10] M [15k,20k] 支气管 炎 
[11,20] F [20k,25k] 流感 
[11,20] F [20k,25k] 肺炎 
2. k- 匿 名 


[El 


Samarati 和 Sweeney 提出 的 &- 匿 名 原则 要 求 所 发 布 的 数据 表 中 的 每 一 条 记录 不 能 
分 于 其 他 一 1 条 记录 。 我 们 称 不 能 相互 区 分 的 有 条 记录 为 一 个 等 价 类 (Equivalence 
Class) 。 这 里 的 不 能 区 分 只 对 非 敏感 属性 项 而 言 。 一 般 & 值 越 大 ,对 隐私 的 保护 效果 更 好 ， 
但 丢失 的 信息 越 多 。 

k- 匿 名 的 缺陷 在 于 没有 对 敏感 数据 做 任何 约束 ,攻击 者 可 以 利用 一 致 性 攻击 
(Homogeneity Attack) 和 背景 知识 攻击 (Background Knowledge Attack) 来 确认 敏感 数据 
与 个 人 的 联系 ,导致 隐私 泄露 。(a,A)- 匿 名 原则 在 此 基础 上 进行 了 改进 ,其 在 保证 发 布 的 数 
据 满足 和 匿名 化 原则 的 同时 ,还 保证 发 布 数据 的 每 一 个 等 价 类 中 ,与 任 一 敏感 属性 值 相关 
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的 记录 的 百分比 不 高 于 a。 
3. l-diversity 


L-diversity 保证 每 一 个 等 价 类 的 敏感 属性 至 少 有 /个 不 同 的 值 。L-diversity 使 得 攻击 
者 最 多 以 1/ 的 概率 确认 某 个 体 的 敏感 信息 。 同 样 ,在 2-diversity 中 ,每 一 个 等 价 类 中 至 少 
有 2 个 不 同 的 敏感 属性 值 。 另 外 ,diversity 还 有 两 种 其 他 的 形式 : 

1) 基于 坑 的 -diversity 

如 果 每 个 等 价 类 的 炉 Entropy( 下 ) 二 logz, 那 么 所 发 布 的 数据 满足 基于 灼 /-diversity。 
其 中 ,等 价 类 的 灶 定 义 为 ， 


Entropy(E) =— DpE,s)logp(E,s) 
5ES 


思 (CE,s) 为 等 价 类 正中 敏感 属性 值 为 * 的 记录 的 百分比 。 越 大 ,表示 等 价 类 的 敏感 属 
性 值 分 布 越 均匀 ,攻击 者 揭露 个 人 的 隐私 就 越 困 难 。 

2) 递归 (ce,)-diversity 

如 果 每 个 等 价 类 都 满足 元 三 cri 十 riti 十 … 十 rm) ,那么 就 说 所 发 布 的 数据 满足 递归 
(c，,D-diversity。 这 里 ,ri 表示 该 等 价 类 中 第 i 频繁 的 敏感 属性 值 的 个 数 。 递 归 (c, 7)- 
diversity 保证 了 等 价 类 中 频率 最 高 的 敏感 属性 值 不 至 于 出 现 频 度 太 高 。 


4. t-Closeness 


4-Closeness 在 /-diversity 基础 上 ,考虑 了 的 敏感 属性 的 分 布 问 题 , 它 要 求 所 有 等 价 类 中 
敏感 属性 值 的 分 布 尽量 接近 该 属性 的 全 局 分 布 。 

L-Closeness 的 定义 : 令 PP 二 {pi1,p2 pn) ,Qi 二 人 q1.q2，… ,qm} 分 别 表示 各 敏感 值 的 
全 局 分 布 和 在 等 价 类 C; 中 的 分 布 。 对 任意 等 价 类 C;, 若 了 与 Q; 的 距离 DLP,Q;] 满 足 
公式 : 


D[P,Q:]<=t 
则 发 布 的 数据 满足 匿名 化 原则 -Closeness。 其 中 , 阔 值 :E [0.1]; 度量 距离 可 采用 可 变 距 
离 或 KL 距离 。 

除 以 上 匿名 化 原则 外 ,也 有 学 者 提出 了 个 性 化 隐私 保护 (Personalized Privacy 
Preservation) 的 匿名 化 原则 ,以 满足 不 同 个 人 隐私 保护 的 要 求 和 级 别 , 并 克服 了 统一 匿名 化 
所 造成 的 数据 * 过 分 ”保护 和 保护 “不 足 ”。 

一 般 来 说 ,遵循 &- 匿 名、L-diversity 等 匿名 化 原则 发 布 数据 都 采用 泛 化 技术 ,这 在 很 大 
程度 上 降低 了 数据 的 精度 和 利用 率 。 

一 种 改进 的 高 精度 的 数据 发 布 方 法 是 Anatomy: 首先 利用 原始 数据 产生 满足 二 
diversity 原则 的 数据 划分 ; 然后 将 结果 分 成 两 张 数 据 表 发 布 ,一 张 表 包 含 每 个 记录 的 准 标 
识 符 属性 值 和 该 记录 的 等 价 类 ID, 另 一 张 表 包含 等 价 类 人 D、 每 个 等 价 类 的 敏感 属性 值 及 其 
计数 。 这 种 将 结果 * 切 开 ? 发 布 的 方法 ,在 提高 准 标识 符 属 性 数据 精度 的 同时 ,保证 了 发 布 的 
数据 满足 I-diversity 原则 ,对 敏感 数据 提供 了 较 好 的 保护 。 


272 


A 


物 联网 安全 技术 


5. 数据 匿名 化 算法 
数据 匿名 化 场景 如 图 6-28 所 示 。 


21|13-5| Male | Cold 三 "一 | 
3|7-9| Female| Flu 改进 可 
SD 


原始 数据 匿名 化 匿名 数据 敌 方 
图 6-28 数据 匿名 化 场景 


大 多 数 匿 名 化 算法 致力 于 解决 根据 通用 匿名 原则 ,怎样 更 好 地 发 布 匿名 数据 。 另 一 部 
分 工作 致力 于 解决 在 具体 应 用 背景 下 ,如何 使 发 布 的 匿名 数据 更 有 利于 应 用 。 因 此 ,又 出 现 
采用 聚 类 思想 进行 匿名 化 的 算法 , 它 能 够 在 发 布 数据 精度 和 计算 开销 问 达到 较 好 的 平衡 。 


6. 基于 通用 原则 的 匿名 化 算法 


不 同情 况 下 ,实现 人 匿名 的 算法 有 多 种 度量 可 采用 ,如 等 价 类 所 包含 的 平均 记录 条 数 、 
数据 的 信息 缺损 .实现 数据 匿名 的 操作 数 、. 可 识别 度量 (Discernability Metrics) 等 。 通 常 采 
用 泛 化 (抑制 ) 技 术 来 实现 最 优化 的 大 匿名 原则 的 算法 ,对 泛 化 空间 (抑制 策略 ) 的 搜索 直接 
影响 到 了 算法 的 性 能 。 然 而 在 很 多 简单 限制 条 件 下 的 最 优化 上 匿名 问题 已 经 被 证 明 是 NP- 
hard, 因 此 ,很 大 一 部 分 实现 -匿名 的 算法 研究 着 眼 于 设计 高 效 的 近似 算法 。 

如 图 6-29 所 示 ,基于 通用 原则 的 匿名 化 算法 常 包 括 泛 化 空间 枚 举 .空间 修剪 、 选 取 最 优 
泛 化 、 结 果 判 断 与 输出 等 步 又。 例如 ,最 早 提出 的 MinGen 算法 采用 的 就 是 每 一 步 都 完全 搜 
索 泛 化 空间 , 选 出 最 优 的 泛 化 操作 ,一 直 进 行 这 样 的 操作 直到 数据 满足 -匿名 原则 。 但 
MinGen 算法 由 于 采用 完全 搜索 ,时 间 复 杂 度 高 ,因此 并 不 实用 。Datafly 算法 在 MinGen 算 
法 的 基础 上 ,引入 抑制 与 启发 式 泛 化 指导 原则 对 效率 进行 了 提升 。 


选取 最 优 泛 化 


空间 修剪 


原始 数据 


6-29 匿名 算法 流程 


另 一 种 广泛 应 用 的 人 匿名 算法 是 Incognito, 它 首先 构建 包含 所 有 全 域 泛 化 (一 种 全 局 
重 编码 技术 ) 方 案 的 泛 化 图 (Generalization Graph) ,然后 自 底 向 上 对 原始 数据 进行 泛 化 ,每 
次 选取 最 优 泛 化 方案 前 ,预先 对 泛 化 图 进行 修剪 以 缩小 搜索 范围 ,不 断 进 行 以 上 操作 直到 数 
据 满 足 -匿名 原则 。 其 他 优化 的 &- 匿 名 算法 基本 上 也 是 采用 修剪 泛 化 空间 来 提升 性 能 。 

多 维 -匿名 算法 能 够 发 布 精度 较 高 的 数据 , 它 将 原始 数据 映射 到 一 个 多 维 空 间 ,&- 茵 名 
问题 即 转换 为 在 空间 中 对 多 维 数据 进行 最 优化 划分 的 问题 。 

其 他 的 匿名 化 原则 算法 ,大 多 是 基于 人 -匿名 算法 ,不 同 之 处 在 于 判断 算法 结束 的 条 件 ， 
而 泛 化 策略 、 对 搜索 空间 的 修剪 等 都 是 基本 相同 的 。 
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7. 面向 特定 目标 的 匿名 化 算法 


在 特定 的 应 用 场景 下 ,通用 的 匿名 化 算法 可 能 不 能 满足 特定 目标 的 要 求 , 因 此 需要 设计 
具有 针对 性 的 匿名 化 算法 。 例 如 ,考虑 到 数据 应 用 者 需要 利用 发 布 的 匿名 数据 构建 分 类 器 ， 
那么 设计 匿名 化 算法 时 就 需要 考虑 在 保护 隐私 的 同时 ,怎样 使 发 布 的 数据 更 有 利于 分 类 器 
的 构建 ,并 且 采 用 的 度量 指标 要 能 直接 反映 出 对 分 类 器 构建 的 影响 。 已 有 的 自 底 向 上 的 匿 
名 化 算法 和 自 顶 向 下 的 匿名 化 算法 都 采用 了 信息 增益 (Information Gain) 作 为 度量 。 因 为 
发 布 的 数据 信息 丢失 越 少 ,构建 的 分 类 器 的 分 类 效果 将 越 好 。 自 底 向 上 的 匿名 化 算法 通过 
每 一 次 搜索 泛 化 空间 ,采用 使 信息 丢失 最 少 的 泛 化 方案 进行 泛 化 ,重复 执行 以 上 操作 直到 数 
据 满足 匿名 原则 的 要 求 。 自 项 向 下 的 匿名 化 算法 的 操作 过 程 与 之 相反 。 

类 似 地 ,针对 以 发 布 数据 利用 率 最 大 化 为 特定 目标 的 应 用 ,有 研究 者 提出 了 
Anonymized Marginals 信息 发 布 方法 ; 针对 以 防止 关联 规则 推导 为 首要 目标 的 应 用 ,需要 采 
用 抑制 ,不 发 布 能 最 大 化 降低 关联 规则 支持 度 和 置信 和 度 的 属性 值 ,从 而 破坏 关联 规则 推导 攻 
击 ; 当 发 布 的 信息 是 多 个 视图 时 ,也 有 研究 者 提出 了 保证 发 布 的 信息 满足 大 匿名 原则 的 算法 。 


8. 基于 聚 类 的 匿名 化 算法 


基于 聚 类 的 匿名 化 算法 将 原始 记录 映射 到 特定 度量 空间 中 ,再 对 空间 中 的 点 进行 聚 类 
来 实现 数据 匿名 。 类 似 于 &- 匿 名 ,算法 保证 每 个 聚 类 中 至 少 有 上 个 数据 点 。 

根据 度量 的 不 同 , 有 研究 者 提出 了 r-gather 和 rcellular 这 两 种 聚 类 算法 。 以 r-gather 
算法 为 例 , 它 以 所 有 聚 类 中 的 最 大 半径 为 度量 ,需要 达到 的 目标 是 对 所 有 数据 点 进行 聚 类 ， 
在 保证 每 个 聚 类 至 少 包含 个 数据 点 的 同时 ,也 使 所 有 聚 类 中 的 最 大 半径 越 小 越 好 。 由 于 
发 布 的 结果 只 包含 聚 类 中 心 、 半 径 以 及 相关 的 敏感 属性 值 ,同一 个 等 价 类 中 的 记录 不 可 区 
分 ,因此 对 个 人 的 敏感 信息 实现 了 隐藏 。 

基于 聚 类 的 匿名 化 算法 主要 面临 两 个 挑战 : 

(1) 怎样 对 原始 数据 的 不 同属 性 进行 加 权 ? 因为 对 属性 的 度量 越 准确 ,那么 聚 类 的 效 
果 就 越 好 ; 

(2) 怎样 将 不 同性 质 的 属性 统一 映射 到 同一 个 度量 空间 中 。 


9. 动态 环境 下 的 数据 匿名 化 算法 


以 上 所 提 到 数据 匿名 化 算法 ,都 是 针对 项 态 数据 而 言 , 并 未 考虑 数据 动态 变化 时 带 来 的 
挑战 。 而 在 动态 环境 下 ,数据 通常 会 随时 间 的 推移 增加 或 减少 ,数据 发 布 要 求 也 会 不 相同 。 在 
动态 环境 下 直接 应 用 基于 静态 数据 的 匿名 化 算法 ,虽然 在 某 一 时 刻 发 布 的 匿名 化 数据 能 很 好 
地 保护 隐私 ,但 是 攻击 者 通过 利用 多 个 时 刻 发 布 的 数据 进行 联合 攻击 ,很 容易 获取 敏感 信息 。 

1) 基于 动态 递增 数据 的 多 次 发 布 

考虑 到 现实 生活 中 很 多 情况 是 数据 不 断 地 增加 (如 医院 所 拥有 的 病例 信息 ), 提 出 并 解 
决 了 基于 动态 递增 数据 的 多 次 发 布 问题 。 

假设 原始 数据 为 工 ,关于 工 的 一 系列 增 量 更 新 为 ATi ,AT,,…。 令 根据 与 前 i 次 的 
增 量 更 新 发 布 的 数据 ,其 中 f; 为 匿名 算法 。 当 同时 满足 以 下 3 个 条 件 时 ,一 系列 发 布 对 数 
据 实 现 了 人 -匿名 隐藏 。 
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(1) T’* 是 二 匿名 化 的 : T* = 二 f(T)。 

(2) Vi 三 1,T? 是 -匿名 化 的 。 

(3) 对 每 个 非 空 整数 集 {4 ,i ,…, 启 ) , 推 导 表 T(f; (Ti),… ,f(T,)) 也 是 k 匿 名 化 的 。 

问题 的 复杂 性 在 于 : 不 仅 要 保证 每 一 次 单独 发 布 数据 的 匿名 化 ,而 且 要 保证 即使 通过 
联合 多 次 发 布 的 数据 进行 攻击 ,隐私 仍然 能 够 得 到 保护 。 

2) 基于 “攻击 检测 与 防止 ”的 方法 

首先 对 当前 的 数据 进行 匿名 化 处 理 ,然后 再 检测 是 否 有 攻击 联合 先前 发 布 的 数据 而 披 
露 隐私 。 直 到 没有 攻击 能 够 披露 数据 隐私 时 则 停止 对 数据 的 进一步 匿名 化 。 

只 有 增 量 更 新 的 数据 集 被 称 为 “ 准 动态 ”数据 集 , 同 时 有 数据 增加 和 减少 的 数据 集 则 称 
为 动态 数据 集 。 提 出 了 一 种 在 动态 环境 下 保护 隐私 的 匿名 化 原则 m-Invariance。 假 设 
Tx (1) ,…,Tx (n) 是 在 动态 环境 下 先后 发 布 的 一 系列 数据 ,我 们 称 这 一 系列 发 布 的 数据 
满足 m-Invariance 匿名 化 原则 , 当 且 仅 当 同时 满足 : 

(1) 对 i 时 刻 发 布 的 数据 Tx* (i ,其 每 一 个 等 价 类 中 都 至 少 有 m 条 记录 且 这 些 记 录 都 
有 不 同 敏 感 属性 值 ; 

(2) 如 果 某 条 记录 出 现在 不 同时 刻 的 多 次 发 布 中 ,那么 每 一 次 发 布 这 条 记录 所 在 的 等 
价 类 包含 的 敏感 属性 值 形成 的 集合 须 相等 。 

第 一 个 条 件 保证 了 每 个 时 刻 发 布 的 数据 的 隐私 披露 风险 不 会 高 于 1/m, 同 时 两 个 条 件 
联合 起 来 保证 攻击 者 利用 多 次 发 布 的 数据 进行 攻击 时 ,不 会 披露 新 增加 和 已 经 减少 的 数据 
的 隐私 。 

满足 m-Invariance 匿名 化 原则 的 数据 发 布 算法 如 下 : 

(1) 首先 将 前 后 两 次 共有 的 数据 分 配 到 包含 相同 的 敏感 属性 值 集合 的 等 价 类 中 ; 

(2) 然后 尝试 将 新 增加 的 记录 分 配 到 这 些 等 价 类 中 ,同时 保证 璋 下 的 未 分 配 的 数据 满 
足 可 以 形成 第 1 个 条 件 的 等 价 类 ; 

(3) 为 剩 下 未 分 配 的 数据 建立 新 的 等 价 类 ; 最 后 对 过 大 、 可 以 分 裂 的 等 价 类 进行 调整 。 

除了 数据 的 插入 、 删 除 会 引起 数据 的 动态 变化 外 ,每 条 记录 属性 值 的 更 新 ,同样 会 导致 
数据 动态 变化 。 

其 假设 敏感 属性 值 由 始终 不 变 和 随机 动态 变化 两 种 组 成 。 对 后 者 而 言 ,由 于 其 随时 间 
是 随机 变化 的 ,对 其 进行 多 次 发 布 不 会 带 来 新 的 威胁 ; 而 对 始终 不 变 (Permanent) 的 敏感 属 
性 值 而 言 ,如 果 在 多 次 发 布 中 不 考虑 它 不 变 的 特点 ,将 变 得 不 再 安全 。 因 此 ,该 问题 的 关键 
在 于 如 何 实现 不 变 敏 感 属 性 值 的 匿名 发 布 。 

数据 匿名 化 由 于 能 处 理 多 种 类 型 的 数据 ,并 发 布 真实 的 数据 ,能 满足 众多 实际 应 用 的 需 
求 , 因 此 受到 广泛 关注 。 由 此 可 见 ,数据 匿名 化 是 一 个 复杂 的 过 程 ,需要 同时 权衡 原始 数据 、 
匿名 数据 ,背景 知识 .匿名 化 技术 、 攻 击 等 众多 因素 。 

总 之 ,每 类 隐私 保护 技术 都 有 不 同 的 特点 ,在 不 同 应 用 需求 下 ,它们 的 适用 范围 性 能 表 
现 等 不 尽 相同 。 当 针对 特定 数据 实现 隐私 保护 上 且 对 计算 开销 要 求 比较 高 时 ,基于 数据 失真 
的 隐私 保护 技术 更 加 适合 ; 当 更 关注 于 对 隐私 的 保护 甚至 要 求实 现 完美 保护 时 , 则 应 该 考 
虑 基于 数据 加 密 的 隐私 保护 技术 ,但 代价 是 较 高 的 计算 开销 (在 分 布 式 环境 下 ,还 会 增加 通 
信 开 销 )。 而 数据 匿名 化 技术 在 各 方面 都 比较 平衡 , 即 能 以 较 低 的 计算 开销 和 信息 缺损 实现 
对 隐私 保护 。 


6.5 位 置 隐私 保护 


基于 位 置 的 服务 (Location-Based Service,LBS) 是 指 通过 无 线 通 信和 定位 技术 获得 移 
动 终端 的 位 置信 息 ( 如 经 纬度 的 坐标 数据 ) ,将 此 信息 提供 给 移动 用 户 本 人 或 他 人 或 应 用 系 
统 ,以 实现 各 种 与 当前 用 户 位 置 相关 的 服务 并 提供 给 移动 用 户 本 人 。 

近年 来 , 随 着 移动 通信 设备 和 无 线 通信 技术 的 快速 发 展 ,定位 技术 的 不 断 成 熟 以 及 服务 
与 内 容 提 供 商 的 不 断 增加 ,LBS 呈现 出 迅猛 增长 的 态势 。 然 而 ,在 LBS 服务 中 ,由 于 用 户 的 
位 置 频繁 变换 ,LBS 必须 不 间断 地 跟踪 用 户 当 前 所 在 位 置 ,导致 用 户 的 位 置信 息 越 来 越 多 
地 暴露 给 LBS 服务 提供 商 , 使 得 将 用 户 位 置信 息 作 为 用 户 个 人 的 隐私 信息 得 到 保护 变 得 更 
加 重要 。 研 究 表明 ,位置 信息 能 否 得 到 妥善 的 保护 ,将 成 为 影响 LBS 服务 得 到 进一步 推广 
和 普及 的 关键 因素 之 一 。LBS 服务 中 对 用 户 隐 私信 息 的 保护 成 为 骂 待 解决 的 问题 。 

位 置 隐私 保护 不 是 指 要 保护 用 户 的 个 人 信息 不 被 他 人 使 用 ,而 是 指 用 户 对 个 人 的 位 置 
信息 进行 有 效 控制 的 权利 。 位 置信 息 是 一 种 特殊 的 个 人 隐私 信息 ,对 其 进行 保护 就 是 要 给 
予 所 涉及 的 个 人 决定 和 控制 自己 所 处 位 置 的 信息 何 时 、 如 何 及 在 何 种 程度 上 被 他 人 获知 的 
权利 。 因 此 ,按照 对 用 户 隐私 信息 进行 保护 的 要 求 ,LBS 服务 提供 商 必须 为 用 户 提 供 一 种 
完全 由 用 户 本 人 控制 其 位 置信 息 能 否 被 他 人 获取 的 方式 ,使 得 用 户 可 以 自行 决定 在 何 种 环 
境 下 将 其 位 置信 息 告 知 何人 。 

目前 ,已 有 多 种 针对 LBS 中 用 户 位 置信 息 的 隐私 保护 方法 ,如 通过 立法 或 行业 规范 的 
方式 进行 保护 .通过 匿名 的 方式 进行 保护 .通过 区 域 模糊 的 方式 进行 保护 .通过 隐私 策略 的 
方式 进行 保护 等 。 由 于 隐私 信息 的 保护 被 视 为 用 户 对 个 人 隐私 信息 的 访问 和 使 用 提供 有 效 
控制 的 权利 和 手段 ,再 加 上 个 人 对 隐私 保护 需求 的 不 同 ,因此 用 户 分 别 设置 相应 的 隐私 策略 
来 保护 个 人 的 隐私 ,成 为 目前 众多 隐私 信息 保护 方法 中 最 有 效 的 方法 之 一 。 另 外 ,在 某 些 
LBS 服务 中 ,对 一 个 用 户 的 位 置信 息 的 访问 可 能 需要 被 多 个 用 户 同时 控制 。 例 如 ,家 长 可 
以 使 用 GPS 设备 通过 提供 的 LBS 服务 跟踪 孩子 的 位 置 ,以 确保 孩子 的 安全 。 家 长 有 权利 
控制 孩子 的 位 置信 息 被 他 人 访问 ,同时 有 必要 提供 必须 获得 父母 双方 授权 才能 访问 孩子 位 
置信 息 的 机 制 ,以 达到 更 灵活 、 更 完善 地 进行 保护 的 目的 。 因 此 ,隐私 保护 方法 必须 能 方便 、 
灵活 地 满足 在 所 有 的 情况 下 每 个 用 户 对 隐私 保护 的 不 同 需求 。 

针对 上 面 所 述 吉 待 解决 的 用 户 位 置 隐私 保护 问题 , 何 泾 沙 等 学 者 提出 了 一 种 面向 隐私 
保护 的 访问 控制 模型 ,用 于 支持 用 户 灵 活 地 设置 隐私 策略 ,实现 对 LBS 服务 中 用 户 位 置信 
息 的 隐私 进行 有 效 的 保护 。 


6.5.1 面向 隐私 保护 的 访问 控制 模型 


面向 隐私 保护 的 访问 控制 模型 是 一 个 基于 三 维 访问 控制 的 矩阵 ,是 对 传统 的 面向 安全 
保护 的 二 维 访问 控制 矩阵 的 扩展 ,目的 是 更 好 地 保护 用 户 的 位 置 隐私 信息 。 

传统 的 二 维 访问 控制 矩阵 是 实现 访问 控制 机 制 的 经 典 的 安全 模型 。 在 该 模型 中 ,可 以 
在 一 个 二 维 访问 控制 矩阵 M 中 设 定 任意 主体 s( 即 LBS 服务 用 户 ) 对 任意 客体 o( 即 位 置信 
息 ) 的 访问 权限 r+。 因此 ,和 矩阵 M 是 一 个 由 zp 个 主体 和 g 个 客体 组 成 的 二 维和 矩阵 ,M 中 的 每 
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一 行 代表 某 个 主体 对 所 有 系统 中 的 客体 进行 访问 的 权限 属性 ; M 中 的 每 一 列 代表 某 个 客体 
被 所 有 系统 中 的 主体 访问 的 权限 属性 ,M 中 每 一 个 矩阵 元 素 M[s,o] 的 内 容 为 所 在 行 的 主 
体 * 对 所 在 列 的 客体 o 的 访问 权限 设置 。 系 统 中 访问 控制 机 制 的 任务 就 是 确保 任何 主体 对 
客体 的 访问 请 求 都 是 按照 访问 控制 矩阵 中 主体 对 客体 的 访问 权限 的 设置 来 确定 是 否 授权 访 
问 请 求 。 

为 了 满足 对 隐私 信息 进行 保护 的 特殊 需要 ,对 以 上 传统 的 二 维 访问 控制 矩阵 进行 扩充 。 
不 同 于 面向 安全 的 信息 保护 ,隐私 保护 的 特点 是 信息 的 隐私 属性 不 能 独立 定义 ,而 是 与 主体 
相关 联 , 即 信息 的 隐私 属性 取决 于 1 个 或 多 个 相关 联 的 具体 的 主体 。 对 于 某 些 主体 来 说 , 认 
为 是 隐私 的 信息 对 于 其 他 主体 来 说 却 并 不 是 隐私 ,同时 1 份 隐 私信 息 可 能 涉及 多 于 1 个 与 
该 信息 相关 联 的 主体 。 例 如 ,1 份 公司 的 项 目 文件 可 能 包含 与 公司 内 部 多 个 部 门 相关 联 的 
商业 机 密 信息 ,因此 ,这 些 部 门 的 负责 人 都 应 该 拥有 控制 用 户 对 这 份 文件 进行 访问 的 能 力 。 

为 了 反映 隐私 信息 的 特点 ,满足 对 隐私 信息 进行 保护 的 需要 ,引入 隐私 相关 者 的 概念 。 
隐私 相关 者 是 指 1 份 信息 中 所 包含 的 涉及 隐私 的 所 有 相关 用 户 ,因此 ,对 这 份 信息 的 未 授权 
访问 会 侵犯 这 些 用 户 的 隐私 。 由 于 一 份 信息 可 以 对 应 多 个 隐私 相关 者 ,因此 针对 这 个 特点 
和 要 求 , 将 隐私 相关 者 加 入 到 传统 的 访问 控制 模型 中 ,在 传统 的 二 维 访问 控制 矩阵 的 基础 上 
增加 1 个 维度 来 表达 隐私 相关 者 对 访问 请 求实 施 控 制 的 能 力 。 扩 充 后 的 面向 隐私 保护 的 访 
问 控制 模型 基于 1 个 三 维 访问 控制 矩阵 ,可 以 用 来 使 所 有 隐私 相关 者 共同 控制 对 1 份 涉及 
他 们 隐私 信息 的 访问 ,由 此 来 达到 保护 用 户 隐 私 的 目的 。 

在 新 的 三 维 访问 控制 矩阵 中 ,由 主体 ( 即 提出 访问 请 求 的 用 户 ) 客体 ( 即 隐私 信息 ) 和 隐 
私 相关 者 ( 即 隐私 信息 所 涉及 的 相关 用 户 ) 这 3 个 因素 共同 确定 主体 是 否 拥有 对 客体 的 访问 
权限 。 三 维 访问 控制 矩阵 M 中 的 第 一 维 SCsES) 代 表 主 体 的 集合 .第 二 维 O(oEO) 代 表 客 
体 的 集合 ,第 三 维 S (ES ) 代 表 隐 私 相关 者 的 集合 。 该 三 维和 矩阵 中 的 元 素 M[s,o,y] 表 达 
信息 o 的 隐私 相关 者 y 赋予 信息 请 求 者 * 对 隐私 信息 o 的 访问 权限 ,其 访问 控制 的 基本 规 
则 如 下 : 

(1) 车 M[Ls,o,s ] 中 的 内 容 为 空 ,表示 s 并 不 是 隐私 信息 o 的 隐私 相关 者 ,对 o 进行 访 
问 不 需要 得 到 的 任何 授权 。 

(2) 若 对 所 有 (CE S'),M[s.o,s ] 中 的 内 容 均 不 包含 某 特定 的 访问 权限 ,表示 s 对 o 
没有 该 特定 的 访问 权限 。 

(3) 车 对 任意 s( s€ S'), M[Ls.o,s ] 中 的 内 容 包 含有 二 “访问 权限 ”,“ 不 允许 ”二 , 表 
示 s 对 o 没有 该 “访问 权限 ”。 

在 以 上 的 三 维 访问 控制 矩阵 模型 中 ,每 一 个 M[s,o,s ] 中 的 内 容 或 者 为 空 ,或 者 为 隐私 
相关 者 * 授权 主体 * 对 客体 o 的 一 种 或 多 种 访问 权限 的 设置 ,如 读 read、 写 write、 执 行 
execute 等 。 如 果 主 体 * 请 求 对 客体 o 进行 ~ 访问 ,该 访问 请 求 必须 得 到 客体 。 的 所 有 隐私 
相关 者 si (xiES') 的 授权 才 人 允许 执行 , 即 所 有 o 的 隐私 相关 者 1, 2,，…，sR CiES) 
所 对 应 的 矩阵 元 素 M[s,o,s 1], M[s,o,s2],…,M[s,o,sk] 中 都 必须 包含 访问 权限 
二 “yr”, “允许” 二 。 确 定 客体 o 的 所 有 隐私 相关 者 s1,s'2,…, sk (si ES ) 及 是 否 授 权 访 
问 的 基本 规则 如 下 : 

(1) 查看 所 有 (ES ) 对 应 的 矩阵 元 素 M[s,o,s], 车 M[s,o,s] 的 内 容 中 包含 所 
“r” “允许 ”过 或 二 “r”,“ 不 人 允许” 全, 则 表明 > 为 o 的 隐私 相关 者 ;由 此 可 以 确定 客体 o 的 
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所 有 隐私 相关 者 51, s'2, … ,sk (CiES')。 

(2) 车 对 于 所 有 si (ES ,1 二 i< 有 ) ,在 M[s,o,si](1 志 i<k) 中 存在 至 少 1 个 访问 权 
限 设置 二 “+r ”, “不 允许 ”二 , 则 拒绝 访问 请 求 r。 此 时 M[s,o,si] 中 的 二 “r”, “不 允 
许 ” 二 意味 着 o 的 隐私 相关 者 si 明确 拒绝 s 对 o 进行 > 访问 。 

为 了 满足 不 同 环境 下 对 隐私 保护 的 需求 ,三 维 访问 控制 模型 允许 设置 其 他 更 加 灵活 的 访 
问 权 限 及 授权 方式 。 例 如 可 以 设置 若 半数 以 上 的 隐私 相关 者 允许 访问 , 则 授权 访问 请 求 , 或 更 
加 通用 地 设置 车 个 隐私 相关 者 中 至 少 有 m 个 隐私 相关 者 允许 访问 , 则 授权 访问 请 求 。 

在 以 上 的 解释 中 ,授权 的 原则 是 : 只 要 有 任何 隐私 相关 者 不 允许 访问 , 则 拒绝 该 访问 请 
求 ,这 样 做 可 以 最 大 化 地 保护 用 户 的 隐私 信息 。 


6.5.2 LBS 服务 中 的 位 置 隐私 信息 保护 


三 维 访问 控制 模型 可 以 用 于 对 LBS 服务 中 的 用 户 位 置 隐私 进行 保护 。 整 个 位 置 隐私 
保护 的 过 程 可 以 分 为 两 个 部 分 : 访问 权限 设置 和 访问 控制 决策 。 

首先 ,所 有 某 一 位 置信 息 相关 的 隐私 相关 者 设置 相对 于 该 位 置信 息 对 所 有 信息 请 求 者 
的 访问 权限 。 通 过 权限 的 设置 ,隐私 相关 者 可 以 设置 哪些 信息 请 求 者 \ 可 以 在 什么 环境 下 
(如 时 间 、 地 点 等 ) 获 取 该 位 置信 息 的 全 部 或 某 些 部 分 。 例 如 ,在 每 天 的 8:00 一 17:00, 当 位 
置信 息 的 隐私 相关 者 在 北京 王府 井 时 ,允许 某 些 请 求 者 得 知 其 所 在 的 精确 位 置信 息 , 即 北京 
市 东城 区 王府 井 步 行 街 王府 井 百 货 6 楼 ; 而 对 另外 一 些 请 求 者 ,只 允许 得 知 其 所 在 的 大 概 
位 置 是 在 北京 。 

第 二 ,在 访问 控制 矩阵 中 设置 了 所 有 的 权限 之 后 ,访问 决策 部 分 对 访问 请 求 者 提出 的 具 
体 的 访问 请 求 按照 矩阵 中 的 设置 做 出 具体 的 允许 或 拒绝 访问 的 决策 。 在 每 次 信息 访问 请 求 
者 提出 访问 位 置信 息 的 请 求 时 ,系统 中 的 访问 控制 决策 机 制 将 查询 设置 在 三 维 访问 控制 矩 
阵 中 的 隐私 权限 ,并 根据 隐私 权限 确定 允许 或 拒绝 访问 请 求 。 

分 析 在 一 个 LBS 典型 服务 中 的 场景 : 母亲 为 孩子 的 安全 ,让 孩子 随身 携带 一 个 定位 设 
备 ( 如 智能 手 环 或 手机 ) ,可 以 随时 了 解 孩 子 所 处 的 位 置 。 这 是 最 常见 的 应 用 场景 ,因为 很 多 
研究 表明 ,孩子 的 家 长 更 加 倾向 于 使 用 定位 服务 。 同 时 ,出 于 保护 孩子 安全 的 考虑 ,母亲 并 
不 希望 任何 其 他 人 都 可 以 获得 孩子 的 位 置信 息 ,但 却 希望 孩子 的 老师 在 某 些 特定 的 情况 下 
获知 孩子 的 位 置信 息 。 因 此 ,需要 为 此 设置 访问 控制 策略 及 权限 ,以 决定 什么 人 能 够 在 什么 
时 候 、 什 么 情况 下 访问 孩子 的 位 置信 息 。 由 于 孩子 是 未 成 年 人 ,没有 能 力 制定 最 合适 的 访问 
策略 ,他们 的 安全 由 家 长 来 负责 ,因此 母亲 就 成 为 孩子 位 置信 息 的 隐私 相关 者 ,负责 制定 相 
关 的 访问 控制 策略 ,保护 孩子 的 位 置 隐私 信息 。 

在 允许 母亲 在 任何 时 间 、 任 何 情况 下 都 可 以 查询 孩子 位 置信 息 的 要 求 下 ,在 访问 控制 模 
型 的 三 维 矩 阵 中 ,所 对 应 的 主体 为 母亲 、 所 对 应 的 客体 为 孩子 位 置信 息 的 矩阵 元 素 M[ 母 
亲 , 孩 子 位 置信 息 ,s](s' ES') 中 ,访问 权限 均 可 设置 为 <“ 读 ”,“ 人 允许” 二 ,因此 ,母亲 可 以 任 
意 获取 包含 孩子 位 置信 息 的 文件 。 

此 外 ,孩子 的 父亲 也 希望 与 母亲 一 同 来 控制 对 孩子 位 置信 息 的 访问 ,以 更 好 地 保护 孩子 的 
隐私 。 有 些 访问 请 求 需要 父母 亲 双 方 的 授权 才 人 允许 执行 ,任何 对 孩子 位 置信 息 未 经 授权 的 访 
问 都 可 以 被 视 为 是 对 父母 亲 隐 私 的 侵犯 ,父母 亲 双 方 都 成 为 孩子 位 置信 息 的 隐私 相关 者 。 

在 LBS 位 置 服务 中 ,对 客体 ( 即 孩 子 位 置信 息 ) 的 访问 需要 得 到 所 有 隐私 相关 者 ( 即 父 
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亲 和 母 亲 双 方 ) 的 授权 。 

首先 ,父母 确定 何人 可 以 访问 孩子 位 置信 息 , 以 此 确定 允许 访问 存放 孩子 位 置信 息 的 文 
件 作 为 客体 的 主体 。 

然后 ,在 分 别 由 父亲 和 母亲 作为 隐私 相关 者 的 2 个 矩阵 元 素 中 设置 “ 读 ? 权 限 。 例 如 ,如 
果 在 所 对 应 的 2 个 矩阵 元 素 中 均 设 置 了 如 下 的 权限 : 二 “ 读 ”,“ 询 问 ” 二 , 即 在 该 矩阵 元 素 所 
对 应 的 主体 请 求 访问 孩子 位 置信 息 时 ,需要 立即 “询问 ”父亲 和 母亲 ,以 获得 父母 亲 的 实时 授 
权 。 在 这 种 情况 下 ,只 有 当 对 父母 双方 的 实时 询问 都 得 到 访问 授权 时 , 才 人 允许 访问 请 求 者 读 
取 和 孩子 位 置信 息 的 文件 。 对 于 任何 隐私 相关 者 未 设置 相关 权限 的 主体 ,都 不 能 访问 作为 客 
体 的 孩子 位 置信 息 的 文件 。 

为 了 描述 提供 LBS 位 置 服务 的 服务 器 在 接收 到 位 置信 息 查 询 的 请 求 时 ,做 出 访问 控制 
决策 的 过 程 ,假设 用 户 * 请 求 访问 存放 孩子 位 置信 息 的 文件 o ,服务 器 在 接收 到 的 访问 请 
求 后 ,由 访问 控制 机 制 通 过 以 下 的 过 程 进行 访问 控制 决策 : 

(1) 检索 三 维 访问 控制 矩阵 中 对 应 于 主体 * 和 客体 o 的 所 有 和 矩阵 元 素 M[s,o,s’](s’€ 
S') ,获取 所 有 和 矩阵 元 素 M[s,o,s]( ES ) 的 内 容 。 

(2) 检测 所 有 M[s,o,s](% ES ) 的 内 容 中 是 否 包 含 “ 读 ”权限 ,如 一 “ 读 ”,“…” 二 。 

(3) 如 果 检 索 结 果 为 空 , 即 没有 任何 矩阵 元 素 包含 * 读 ”权限 , 则 拒绝 此 访问 请 求 , 即 父 
母亲 不 允许 信息 请 求 者 * 访问 包含 孩子 位 置信 息 的 文件 o 。 

(4) 如 果 检 索 结果 不 为 空 , 即 矩阵 元 素 M[s,o, 母 亲 ] 或 M[s,o, 父 亲 ] 中 至 少 有 一 个 包 
含 的 内 容 有 二 “ 读 ”,“…” 二 ,如 果 有 任何 矩阵 元 素 的 内 容 为 二 “ 读 ”,“ 不 允许 ”, 则 拒绝 此 
访问 请 求 , 即 父亲 或 母亲 不 允许 信息 请 求 者 ;访问 包含 孩子 位 置信 息 的 文件 o。 

(5) 根据 矩阵 元 素 M[s,0, 母 亲 ] 和 M[s.o. 父 亲 ] 中 的 内 容 , 如 果 M[s,o, 母 亲 ] 和 MP[s， 
0, 父 亲 ] 的 内 容 均 为 <“ 读 ”,“ 人 允许” 二 , 则 授权 此 访问 请 求 ; 如 果 和 矩阵 元 素 M[s,o, 母 亲 ] 或 
M[Ls,0, 父 亲 ] 中 包含 内 容 二 “ 读 ”,“ 询 问 ”二 , 则 向 母亲 或 父亲 发 送 实时 位 置信 息 访 问 请 求 ， 
然后 等 待 母亲 或 父亲 的 实时 决策 ,在 向 父母 亲 发 送 访问 请 求 询问 时 ,访问 控制 机 制 会 将 相关 
信息 (如 信息 请 求 者 s、 当 前 时 间 以 及 目前 孩子 所 处 的 位 置 等 ) 同 时 发 送 给 父母 亲 , 父 母亲 根 
据 以 上 综合 信息 做 出 允许 或 者 拒绝 访问 的 决策 ,并 将 决策 结果 传 回访 问 控制 机 制 , 由 访问 控 
制 机 制 根据 决策 原则 做 出 访问 控制 决策 。 

从 以 上 过 程 可 以 看 出 ,所 有 隐私 相关 者 (如 本 例 中 的 父母 亲 ) 可 以 同时 控制 信息 请 求 者 
对 隐私 信息 的 访问 。 此 外 ,模型 可 以 灵活 地 增加 隐私 相关 者 的 人 数 , 即 所 有 与 某 份 隐私 信息 
相关 的 用 户 均 可 以 对 该 隐私 信息 的 访问 进行 控制 。 即 面向 隐私 保护 的 访问 控制 模型 对 隐私 
相关 者 的 数量 没有 限制 ,可 以 满足 LBS 服务 中 对 隐私 信息 进行 灵活 保护 的 要 求 。 


6.6 轨迹 隐私 保护 


6.6.1 轨迹 隐私 保护 概述 
1. 轨迹 隐私 保护 的 概念 
轨迹 隐私 是 一 种 特殊 的 个 人 隐私 , 它 是 指 个 人 运行 轨迹 本 身 合 有 的 敏感 信息 (如 访问 过 
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的 敏感 位 置 ) ,或 者 由 运行 轨迹 推导 出 的 其 他 个 人 信息 (如 家 庭 住址 、 工 作 地 点 、 生 活 习惯 、 健 
康 状况 等 );。 因 此 ,轨迹 隐私 保护 既 要 保证 轨迹 本 身 的 敏感 信息 不 泄露 ,又 要 防止 攻击 者 通 
过 轨迹 推导 出 其 他 的 个 人 信息 。 


2. 轨迹 隐私 保护 技术 大 致 可 以 分 为 以 下 3 类: 


1) 基于 假 数据 的 轨迹 隐私 保护 技术 

它 是 指 通 过 添加 假 轨迹 对 原始 数据 进行 干扰 ,同时 又 要 保证 被 干扰 的 轨迹 数据 的 某 些 
统计 属性 不 发 生 严重 失真 。 

2) 基于 泛 化 法 的 轨迹 隐私 保护 技术 

该 技术 是 指 将 轨迹 上 所 有 的 采样 点 都 泛 化 为 对 应 的 匿名 区 域 ,以 达到 隐私 保护 的 目的 。 

3) 基于 抑制 法 的 轨迹 隐私 保护 技术 

它 是 指 根据 具体 情况 有 条 件 的 发 布 轨迹 数据 ,不 发 布 轨迹 上 的 某 些 敏感 位 置 或 频繁 访 
问 的 位 置 以 实现 隐私 保护 。 

假 数 据 轨 迹 隐 私 保护 方法 简单 .计算 量 小 ,但 易 造 成 假 数 据 的 存储 量 大 及 数据 可 用 性 降 
低 等 缺点 ; 基于 泛 化 法 的 轨迹 隐私 保护 技术 可 以 保证 数据 都 是 真实 的 ,然而 计算 开销 较 大 ; 
基于 抑制 法 的 轨迹 隐私 保护 技术 限制 发 布 某 些 敏 感 数据 ,实现 简单 ,但 信息 丢失 较 大 。 目 
前 ,基于 汉化 法 的 轨迹 -匿名 技术 (Trajectory k-anonymity) 在 隐私 保护 度 和 数据 可 用 性 上 
取得 了 较 好 的 平衡 ,是 目前 轨迹 隐私 保护 的 主流 方法 。 


3. 轨迹 隐私 保护 度量 标准 


在 轨迹 数据 发 布 中 ,由 于 发 布 后 的 数据 要 供 第 三 方 分 析 和 使 用 ,隐私 保护 技术 要 在 保护 
轨迹 隐私 的 同时 有 较 高 的 数据 可 用 性 ; 在 基于 位 置 的 服务 中 ,隐私 保护 技术 既 要 保护 移动 
对 象 的 轨迹 隐私 ,又 要 保证 移动 用 户 获得 较 高 的 服务 质量 。 

总 的 来 说 ,轨迹 隐私 保护 技术 的 度量 标准 包括 两 个 方面 : 

1) 隐私 保护 度 

一 般 通 过 轨迹 隐私 的 披露 风险 来 反映 ,披露 风险 越 小 ,隐私 保护 度 越 高 。 披 露 风险 是 指 
在 一 定 情况 下 ,轨迹 隐私 泄露 的 概率 。 披 露 风险 与 隐私 保护 算法 的 好 坏 和 攻击 者 掌握 的 背 
景 知识 有 很 大 的 关联 。 攻 击 者 掌握 的 背景 知识 越 多 ,披露 风险 越 高 。 在 轨迹 隐私 保护 中 , 攻 
击 者 掌握 的 背景 知识 可 能 是 在 空间 中 移动 对 象 的 分 布 情况 ,移动 对 象 的 运行 速度 、 该 区 域 的 
道路 网 络 情况 等 。 

2) 数据 质量 /服务 质量 

在 轨迹 数据 发 布 中 ,数据 质量 是 指 发 布 数据 的 可 用 性 ,数据 的 可 用 性 越 高 ,数据 质量 越 
好 。 一 般 采 用 信息 丢失 率 ( 又 称 为 信息 扭曲 度 ) 来 衡量 数据 质量 的 好 坏 。 在 基于 位 置 的 服务 
中 ,采用 服务 质量 来 衡量 隐私 保护 算法 的 好 坏 ,在 相同 的 隐私 保护 度 下 ,移动 对 象 获得 的 服 
务 质 量 越 高 则 隐私 保护 技术 越 成 熟 。 一 般 情 况 下 ,服务 质量 由 响应 时 间 查询 结果 的 准确 性 
来 衡量 。 


4. 轨迹 隐私 保护 系统 的 结构 
在 基于 位 置 的 服务 中 ,轨迹 隐私 保护 系统 的 结构 有 分 布 式 点 对 点 结构 和 中 心服 务 器 结 
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构 两 种 。 分 布 式 点 对 点 结构 由 客户 端 和 服务 提供 商 两 个 部 件 组 成 ,客户 端 之 间 通 过 P2P 协 
议 通信 ,判断 客户 端 之 间 的 距离 ,通过 彼此 协作 完成 隐私 保护 过 程 。 中 心服 务 器 结构 由 客户 
端 、 服 务 提供 商 和 匿名 服务 器 三 部 分 组 成 ,如 图 6-30 所 示 。 


自 - ---- 隐私 保护 模块 | | 医 名 后 的 
服务 请 求 
站 服 和 请求 | KK [| 服务 提供 商 
服务 结 下 结果 处 理 模块 | |” 候选 结果 ”| 
匿名 服务 器 


服务 请 求 用 户 
图 6-30 中心 服务器 结构 


匿名 服务 器 包含 了 隐私 保护 模块 和 结果 处 理 模块 。 隐 私 保护 模块 负责 收集 客户 端的 位 
置 、 对 客户 端 进行 隐私 保护 处 理 ; 结果 处 理 模 块 负 责 接受 服务 提供 商 发 回 的 候选 结果 ,对 候 
选 结果 求 精 , 并 将 最 终结 果 返 回 给 客户 端 。 巾 于 中 心服 务 器 结构 具有 容易 实现 ,掌握 全 局 数 
据 等 优点 ,已 经 成 为 目前 最 常用 的 系统 结构 。 

在 轨迹 隐私 保护 技术 度量 标准 和 系统 架构 的 基础 上 ,以 下 分 别 对 目前 三 种 主流 的 轨迹 
隐私 保护 技术 进行 分 析 。 


6.6.2 基于 假 数据 的 轨迹 隐私 保护 技术 


1. 假 数据 的 轨迹 隐私 保护 技术 概述 


在 位 置 隐私 保护 技术 中 , 假 位 置 是 经 常 使 用 的 一 种 简单 有 效 的 技术 。 假 位 置 即 不 发 布 
真实 位 置 , 用 假 位 置 获得 相应 的 服务 。 在 轨迹 数据 隐私 保护 中 ,同样 可 以 使 用 假 轨迹 方法 。 
假 轨迹 方法 通过 为 每 条 轨迹 产生 一 些 假 轨迹 来 降低 披露 风险 。 例 如 ,如 表 6-4 所 示 存 储 了 
原始 轨迹 数据 ,移动 对 象 0 、O; 、O; 在 4、t ，、4s 时 刻 的 位 置 存储 在 数据 库 中 ,形成 了 3 条 
轨迹 。 


表 6-4 原始 数据 
MOB t t ts 
CO (1,2) (3,3) (5,3) 
O; (2,3) (2,7) (3,8) 
O; (1,4) (3,6) (5,8) 


如 表 6-5 所 示 是 对 原始 数据 进行 假 数据 扰动 后 的 结果 。 .7 、1; 分别 是 移动 对 象 O, 、 
O;、O; 的 假名 ; I 、Is 、Ts 是 生成 的 假 轨迹 的 假名 。 经 过 假 轨迹 扰动 后 的 数据 库 中 含有 6 条 
假 轨迹 ,每 条 真实 轨迹 的 披露 风险 降 为 /2。 简 单 地 说 ,产生 的 假 轨迹 越 多 ,披露 风险 就 
越 低 。 
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表 6-5 用 假 数据 法 干扰 后 的 轨迹 数据 库 


MOB t th Le 
五 (1,2) (3,3) (5,3) 
I (2,3) (2,7) (3,8) 
a (1,4) (3,6) (5,8) 
A (1,1) (2,2) (3,3) 
Is (2,4) (2,6) (4,6) 
I (1,3) (2,5) (3,7) 


一 般 来 说 , 假 轨迹 方法 要 考虑 以 下 三 个 方面 : 

1) 假 轨迹 的 数量 

假 轨迹 的 数量 越 多 ,披露 风险 越 低 ,但 是 同时 对 真实 数据 产生 的 影响 也 越 大 。 因 此 , 假 
轨迹 的 数量 通常 根据 用 户 的 隐私 需求 选择 折 中 数值 。 

2) 轨迹 的 空间 关系 

从 攻击 者 的 角度 看 ,从 交叉 点 出 发 的 轨迹 易于 混淆 ,因此 ,应 尽 可 能 产生 相交 的 轨迹 以 
降低 披露 风险 。 

3) 假 轨迹 的 运动 模式 

假 轨迹 的 运动 模式 要 和 真实 轨迹 的 运动 模式 相近 ,不 合 常规 的 运动 模式 容易 被 攻击 者 识破 。 


2. 假 数据 的 轨迹 隐私 保护 的 实现 


针对 上 述 3 种 要 求 , 出 现 了 两 种 生成 假 轨迹 的 方法 , 即 随机 模式 生成 法 和 旋转 模式 生 

1) 随机 模式 生成 法 

随机 生成 一 条 连接 起 点 到 终点 、 连 续 运行 且 运 行 模式 一 致 的 假 轨迹 。 

2) 旋转 模式 生成 法 

以 移动 用 户 的 真实 轨迹 为 基础 ,以 真实 轨迹 中 的 某 些 采样 点 为 轴 点 进行 旋转 ,旋转 后 的 
轨迹 为 生成 的 假 轨迹 。 旋 转 点 的 选择 和 旋转 角度 的 确定 需要 和 信息 扭曲 度 进行 关联 权衡 。 

旋转 模式 生成 法 生成 的 假 轨迹 与 真实 用 户 的 运动 模式 相同 ,并 和 真实 轨迹 有 交点 ,难以 
被 攻击 者 识破 。 


6.6.3 基于 泛 化 法 的 轨迹 隐私 保护 技术 


在 轨迹 隐私 保护 中 ,最 常用 的 方法 是 轨迹 大 匿 名 技术 。A- 匿 名 模型 主要 应 用 在 关系 数 
据 库 的 隐私 保护 中 。 其 核心 思想 是 将 QI 属性 泛 化 ,使 得 单条 记录 无 法 和 其 他 & 一 1 条 记录 
区 分 开 来 。Marco Gruteser 最 先 将 居 匿 名 技术 应 用 到 位 置 隐私 保护 中 ,产生 了 位 置 人 -匿名 
模型 , 即 当 移 动 对 象 在 某 一 时 刻 的 位 置 无 法 与 其 他 &A 一 1 个 用 户 的 位 置 相 区 别 时 , 称 此 位 置 
满足 位 置 和 匿名 。 随 后 ,A- 匿 名 模型 也 应 用 到 轨迹 隐私 保护 技术 中 ,产生 了 轨迹 A- 匿 名 。 
一 般 来 说 ,k 值 越 大 则 隐私 保护 效果 越 好 ,然而 丢失 的 信息 也 越 多 。 

给 定 若干 条 轨迹 ,对 于 任意 一 条 轨迹 Ti , 当 且 仅 当 在 任意 采样 时 刻 : ;至 少 有 At 一 1 条 
轨迹 在 相应 的 采样 位 置 上 与 T; 泛 化 为 同一 区 域 时 , 称 这 些 轨 迹 满足 轨迹 -匿名 ,满足 轨迹 
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大 匿名 的 轨迹 被 称 为 在 同一 个 -匿名 集中 。 采 样 位 置 的 泛 化 区 域 ( 又 称 匿名 区 域 ) 可 以 是 最 
小 边界 矩形 (MBR) ,也 可 以 是 最 小 边界 圆 形 (MBC) ,可 以 根据 具体 需求 进行 调整 。 

下 面 的 例子 展示 了 轨迹 -匿名 的 概念 。 

如 表 6-6 所 示 是 对 表 6-4 中 的 原始 数据 进行 轨迹 3- 匿 名 后 的 结果 。 


表 6-6 轨迹 3- 匿 名 
MOB nh bh 所 
a [(1,2),(2,4)] [(2,3)，(3,7)] [(3,5)，(3,8)] 
I [(1,2),(2,4)] [C2,3), (3,7)] [C3,5), (3,8)] 
I [(1,2),(2,4)] [(2,3)，(3,7)] [(3,5)，(3,8)] 


表 6-6 中 的 五 、 厂 和 天 分 别 是 移动 对 象 0, .O;、O; 的 假名 。3 个 时 刻 的 位 置 也 泛 化 为 3 
个 移动 对 象 的 最 小 边界 和 矩形。 匿名 区 域 采 用 左下 角 坐 标 和 右上 和 角 坐 标 来 表示 。 例 如 ,[(1， 
2),(2,4)] 表 示 左 下 角 坐 标 为 (1，2) ,右上 角 坐 标 为 (2, 4) 的 最 小 边界 矩形 。 

在 数据 发 布 中 和 基于 位 置 的 服务 中 均 有 关于 轨迹 人 -匿名 技术 的 研究 ,两 种 场景 下 对 轨 
迹 A- 匿 名 的 侧重 点 不 同 , 下 面 分 别 介绍 两 个 场景 中 的 轨迹 全 匿名 方法 。 


1. 数据 发 布 中 的 轨迹 k- 匿 名 


在 轨迹 数据 发 布 的 隐私 保护 中 ,轨迹 k- 匿 名 要 将 静态 的 轨迹 数据 库 D 转换 为 D x ,使 
得 Dx 中 的 任意 一 条 轨迹 T; * 都 属于 某 个 轨迹 所 匿 名 集 , 且 Dx* 和 DD 之 间 的 信息 扭曲 度 最 
小 。 在 信息 扭曲 度 最 小 的 情况 下 达到 轨迹 刀 匿 名 是 NP-hard 问题 ,其 中 有 以 下 几 个 关键 的 
研究 问题 。 

1) QI 属性 的 识别 

QI 属性 又 称 为 准 标 识 符 , 它 是 指 联合 起 来 能 唯一 识别 某 个 个 体 的 多 个 属性 的 集合 。 例 
如 ,邮编 .生日 ,性 别 等 联合 起 来 是 准 标识 符 。 在 关系 数据 隐私 保护 中 ,属性 一 般 分 为 QI 属 
性 和 敏感 信息 ,隐私 保护 技术 将 QI 属性 泛 化 ,使 得 发 布 的 数据 中 每 一 条 记录 不 能 区 分 于 其 
他 A-l1 条 记录 。 然 而 在 轨迹 数据 中 ,QI 属性 与 敏感 信息 很 难 界定 ,轨迹 上 任何 位 置 或 位 置 
的 集合 都 有 可 能 成 为 区 分 于 其 他 轨迹 的 QI 属性 。 

例如 ,在 某 个 时 刻 ,T; 是 唯一 一 个 经 过 了 位 置 志 ,和 万 ;的 轨迹 ,那么 志和 ; 就 可 以 作为 
T,; 的 QI 属性 。 

多 数 算法 在 保护 轨迹 数据 隐私 时 ,并 不 考虑 QI 属性 与 其 他 属性 的 区 别 , 而 是 将 整 条 轨 
迹 上 的 任何 一 个 采样 点 均 做 泛 化 处 理 ; 也 有 的 方法 从 动态 QI 属性 的 角度 出 发 进行 隐私 保 
护 。 所 谓 动态 QI 属性 是 指 某 条 轨迹 的 QI 属性 在 不 同 的 时 刻 1; 由 不 同 的 位 置 组 成 。 由 于 动 
态 QI 属性 自身 的 特性 ,必须 找到 在 所 有 时 刻 1,,…, 4, 上 距离 O 的 聚集 距离 最 小 的 4 一 1 个 
对 象 , 并 将 这 上 个 对 象 匿名 到 一 个 匿名 区 域 中 以 达到 轨迹 k- 匿 名 。 

2) 轨迹 -匿名 集 的 形成 

寻找 轨迹 A 匿 名 集 的 原则 是 使 得 D * 与 D 的 信息 扭曲 度 尽 可 能 小 。 因 此 ,匿名 集中 的 
& 条 轨迹 在 时 空 上 要 尽 可 能 地 相近 , 即 匿名 集中 的 轨迹 既 要 分 布 在 相同 的 时 间 段 内 又 要 在 
空间 距离 上 相近 。 为 了 能 达到 时 间 相 近 的 目的 ,大 多 数 算法 都 采用 了 预 处 理 的 方式 ,将 分 布 
在 相同 时 间 段 内 的 轨迹 放 入 同一 个 等 价 类 中 。 然 后 ,在 同一 个 等 价 类 中 寻找 空间 距离 相近 的 
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轨迹 A 匿 名 集 。 寻 找 轨迹 妨 匿 名 集 的 方法 有 两 大 类 ,一 类 是 通过 整 条 轨迹 聚 类 找到 距离 相近 
的 轨迹 形成 -匿名 集 ; 另 一 类 是 通过 某 条 轨迹 上 最 近邻 采样 点 位 置 找 到 轨迹 驻 匿名 集 。 不 管 
用 何 种 方式 ,为 了 到 达 较 小 的 信息 扭曲 度 , 都 必须 遵循 & 条 轨迹 之 间距 离 尽 可 能 小 的 原则 。 

3) 轨迹 距离 的 计算 

轨迹 聚 类 或 寻找 最 近邻 采样 点 均 需 要 计算 轨迹 或 者 采样 位 置 之 间 的 距离 。 目 前 ,研究 
者 们 已 经 提出 了 多 种 轨迹 距离 的 计算 方法 ,比如 欧 几 里 得 距离 .编辑 距离 、 最 长 共同 序列 距 
离 .对 数 距离 等 。 目 前 ,大 多 数 方法 采用 欧 几 里 得 距离 计算 轨迹 或 采样 点 之 间 的 距离 ,也 有 
的 方法 采用 对 数 距离 计算 轨迹 之 间 的 距离 。 选 择 何 种 距离 计算 函数 和 信息 扭曲 度 的 衡量 函 
数 有 直接 关系 。 例 如 ,如 果 信 息 扭曲 度 由 数据 库 D 和 D * 之 间 的 欧 几 里 得 距离 衡量 ,那么 ， 
相应 的 轨迹 距离 也 应 采用 欧 几 里 得 距离 。 


2. LBS 中 的 轨迹 kK- 匿名 


基于 位 置 的 服务 是 指 服务 提供 商 根据 移动 用 户 的 位 置信 息 提供 各 种 服务 。 例 如 ,紧急 
救援 服务 、 基 于 位 置 的 娱乐 信息 服务 、 生 活 信息 服务 以 及 基于 位 置 的 广告 服务 等 。 由 于 
LBS 服务 与 用 户 提出 请 求 的 位 置 有 关 , 因 此 ,使 用 基于 位 置 的 服务 最 大 的 隐私 威胁 就 是 位 
置 隐私 的 泄露 ,也 就 是 说 ,暴露 用 户 的 位 置 以 及 获知 位 置 后 用 户 收 到 的 与 时 空 相关 的 推理 攻 
击 。 例 如 ,用 户 不 想 让 别人 知道 目前 所 在 的 位 置 (如 酒吧 ?以 及 将 要 去 的 位 置 (如 查询 最 近 的 
宾馆 等 )。 位 置 隐私 保护 技术 的 出 现 解 决 了 这 类 问题 , 它 可 以 保护 移动 用 户 在 某 个 时 刻 的 位 
置信 息 以 及 用 户 在 发 出 连续 查询 时 的 位 置信 息 。 不 过 ,更 严重 的 问题 是 : 保护 了 用 户 的 位 置 
隐私 并 不 一 定 能 保护 用 户 的 轨迹 隐私 。 例 如 ,通过 位 置 隐私 保护 技术 ,移动 对 象 在 发 出 LBS 
请 求 的 时 刻 均 发 布 了 一 个 匿名 框 ,将 这 些 匿 名 框 连接 起 来 ,会 暴露 移动 对 象 的 大 致 轨迹 。 

在 基于 位 置 的 服务 中 ,轨迹 人 -匿名 与 位 置 人 -匿名 不 同 , 轨 迹 A- 匿 名 要 求 任 一 条 轨迹 在 
起 始点 至 终止 点 的 所 有 采样 位 置 都 必须 和 相同 的 & 一 1 条 轨迹 匿名 。 基 于 位 置 的 服务 中 的 
轨迹 所 匿名 与 数据 发 布 中 的 轨迹 A- 匿 名 不 同 , 待 匿名 的 轨迹 数据 不 是 静态 的 ,而 是 动态 变 
化 的 。 因 此 ,如 何 从 轨迹 起 始 时 就 能 确定 轨迹 和 匿名 集 是 一 个 挑战 性 问题 。 在 基于 位 置 的 
服务 中 ,轨迹 人 -匿名 集 的 方法 大 致 有 以 下 几 种 。 

1) 基于 轨迹 划分 的 轨迹 -匿名 

将 轨迹 分 片 ,对 每 个 片段 与 其 他 轨迹 的 片段 进行 匿名 ,可 以 解决 将 整 条 轨迹 匿名 带 来 的 
不 确定 性 问题 ,研究 者 提出 了 轨迹 分 片 匿名 的 方法 。 分 片 方 法 的 关键 问题 在 于 : 如 何 确定 
轨迹 片段 的 长 度 。 如 果 轨 迹 片段 太 短 , 则 无 异 于 位 置 隐私 保护 ,起 不 到 轨迹 隐私 保护 的 作 
用 ; 如 果 轨 迹 片 段 太 长 , 则 起 不 到 划分 的 效果 。 轨 迹 划 分 的 方法 是 将 二 维 空间 划分 为 大 小 
相等 的 正方 形 “ 格 ”, 根 据 用 户 的 隐私 需求 可 将 一 个 或 多 个 “ 格 ” 定 义 为 一 个 “大 格 ”"。 假 如 一 
条 轨迹 穿 过 不 同 的 “大 格 ”“ 大 格 ” 的 边界 将 这 条 轨迹 分 成 若干 个 轨迹 片段 ,然后 再 分 别 对 处 
于 不 同 “ 大 格 ” 的 轨迹 片段 进行 匿名 。 在 划分 交界 处 的 位 置 隐私 保护 也 是 需要 关注 的 问题 ， 
有 的 学 者 则 提出 在 边界 位 置 延 时 发 布 匿名 区 域 的 策略 。 

2) 基于 历史 轨迹 的 &- 匿 名 

多 数 匿 名 方法 都 是 和 当前 时 间 段 内 的 移动 对 象 匿名 ,匿名 是 否 成 功 很 大 程度 上 依赖 于 
路 网 的 稠密 度 。 如 果 路 网 过 于 稀 朴 ,容易 造成 匿名 框 过 大 ,从 而 影响 服务 质量 ; 若 在 服务 时 
间 内 达 不 到 用 户 设 定 的 隐私 级 别 , 则 会 造成 匿名 失败 。 基 于 上 述 问题 ,有 的 研究 者 提出 了 用 
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历史 数据 和 用 户 的 运行 轨迹 匿名 的 方法 。 历 史 数 据 匿名 技术 采用 中 心服 务 器 模式 ,客户 端 
和 位 置 服务 器 之 间 有 一 个 可 信 的 匿名 服务 器 , 且 匿 名 服务 器 中 含有 存储 历史 轨迹 数据 的 数 
据 库 。 移 动 对 象 增 量 地 向 匿名 服务 器 发 送 运行 轨迹 To 二 {ci ,cs，…,c,) ,匿名 服务 器 需要 为 
T。 产 生 匿 名 区 域 的 序列 T=={c1 ,cs，,…,c,} ,使 了 完全 覆盖 T。, 且 包含 一 1 条 历史 轨迹 。 该 
方法 通过 为 每 一 条 历史 轨迹 建立 基于 格 的 索引 来 获取 距离 T, 最 近 的 历史 轨迹 。 在 基于 格 
的 索引 中 , 先 使 用 四 分 树 将 二 维 空间 划分 为 大 小 不 等 的 “ 格 ”, 为 每 个 “ 格 ”维护 一 张 表 , 表 中 
存储 了 经 过 该 * 格 ”的 轨迹 id 以 及 其 他 信息 。 通 过 该 索引 可 以 找到 与 To 经 过 相同 “ 格 ” 的 轨 
迹 ,并 将 这 些 轨迹 存 入 集合 B 中 ,如 果 B 中 的 轨迹 数据 不 足 & 一 1 个 , 则 继续 查找 经 过 与 To 
相 邻 的 格 的 轨迹 放 入 B 中 ,直至 B 中 含有 至 少 k 一 1 条 轨迹 为 止 。 由 于 B 中 的 轨迹 和 TT, 经 
过 相同 或 相 邻 的 * 格 ”, 距 离 Tu 较 近 。 形 成 轨迹 大 匿 名 的 轨迹 从 集合 B 中 选取 。 这 样 就 完成 
了 轨迹 A- 匿 名 。 

6.6.4 基于 抑制 法 的 轨迹 隐私 保护 技术 

抑制 法 是 指 有 选择 地 发 布 原始 数据 ,抑制 某 些 数据 项 , 即 不 发 布 某 些 数据 项 。 如 表 6-7 
和 表 6-8 所 示 展 示 了 通过 抑制 法 进行 轨迹 隐私 保护 的 例子 。 表 6-7 中 存储 了 坐标 与 语义 位 


置 之 间 的 对 应 关系 (该 信息 可 以 通过 反 向 地 址 解析 器 和 黄页 相 结合 得 到 ) ,假如 攻击 者 获得 
该 信息 ,就 可 以 作为 背景 知识 对 发 布 的 数据 进行 推理 攻击 。 


表 6-7 位 置信 息 表 
位 置 名 称 
(1,2) 体育 馆 
(2,7) 图 书馆 
(5,8) 网 吧 
(3,9) 酒店 


表 6-8 用 抑制 法 隐私 保护 的 数据 


MOB ti th [a 
On Ee (3,3) (5,3) 
O; (2,3) = (3,8) 
Os: (1,4) (3,6) = 


表 6-8 是 经 过 简单 抑制 之 后 发 布 的 轨迹 数据 ,可 以 看 出 ,所 有 敏感 位 置信 息 都 被 限制 发 
布 ,移动 对 象 的 隐私 得 到 保护 。 

简单 地 说 ,抑制 法 包括 两 个 重要 原则 : 

(1) 抑制 敏感 /频繁 访问 的 位 置信 息 。 

(2) 抑制 增 大 整 条 轨迹 披露 风险 的 位 置信 息 。 

如 何 找 到 需要 抑制 的 位 置信 息 以 降低 披露 风险 且 尽 可 能 地 提高 数据 的 可 用 性 是 抑制 法 
需要 解决 的 关键 问题 。 抑 制 法 的 研究 者 根据 攻击 者 掌握 移动 对 象 的 部 分 轨迹 的 情况 ,提出 
了 抑制 某 些 信息 来 保护 移动 用 户 轨迹 隐私 的 方法 。 该 方法 要 解决 的 问题 是 将 轨迹 数据 库 D 
转换 为 D * ,使 得 攻击 者 A 不 能 以 高 于 Ps 的 概率 推导 出 轨迹 上 的 位 置 属 于 某 个 移动 对 象 。 
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假定 轨迹 了 上 的 位 置 p; 来 源 于 位 置 集合 P, 不 同 的 攻击 者 拥有 不 同 的 位 置 集 合 ,攻击 
者 A 的 位 置 集合 表示 为 PA, 攻击 者 A 掌握 的 轨迹 片段 表示 为 TA。 

因此 ,需要 计算 某 个 不 属于 PA 的 位 置 可 能 被 A 推导 出 其 所 有 者 的 概率 ,如 果 这 个 概 
率 大 于 Pv , 则 p; 必 须 被 抑制 。 使 用 抑制 法 进行 隐私 保护 时 ,如 果 抑 制 的 数据 太 多 ,势必 会 
严重 影响 数据 的 可 用 性 。 

也 有 些 研究 者 采用 了 男 一 种 抑制 法 进行 隐私 保护 。 该 方法 根据 某 个 区 域 访问 对 象 的 多 
少将 地 图 上 的 区 域 分 为 敏感 区 域 和 非 敏 感 区 域 , 一 旦 移动 对 象 进入 敏感 区 域 ,将 抑制 或 推迟 
其 位 置 更 新 ,以 保护 其 轨迹 隐私 。 对 于 非 敏感 区 域 ,算法 并 不 限制 移动 对 象 的 位 置 更 新 。 

抑制 法 简单 有 效 , 能 处 理 攻击 者 持 有 部 分 轨迹 数据 的 情况 。 在 保证 数据 可 用 性 的 前 提 
下 ,抑制 法 是 一 种 效率 较 高 的 方法 。 然 而 ,上 面 提 到 的 方法 仅 适 用 于 了 解 攻击 者 拥有 某 种 特 
定 背 景 知识 的 情形 , 当 隐 私 保护 方 不 能 确切 地 知道 攻击 者 的 背景 知识 时 ,这 种 方法 就 不 再 适 
用 了 。 


6.6.5 各 类 轨迹 保护 方法 比较 


以 上 对 常用 的 3 类 轨迹 隐私 保护 方法 进行 了 介绍 ,本 节 对 这 3 类 方法 进行 比较 ,列举 各 
类 方法 的 主要 优点 .主要 缺点 以 及 代表 技术 ,如 表 6-9 所 示 。 
表 6-9 各 种 隐私 保护 方法 比较 


方法 主要 优点 主要 缺点 代表 技术 
假 数据 法 计算 开销 较 小 数据 失真 严重 Dummy 
比较 容易 实现 算法 移植 性 差 Path Protection 


(kk,0)-anonymit y 


Anonym ity-reconst ruction 


算法 区 入 性 好 实现 最 倪 化 软 连 Split-generalization 
数据 比较 真实 时 各 天 区 站 大 History data anonymity 
比较 容易 实现 有 隐私 泄露 风险 
ExtremeUnion 
Symmetric Anonymization 
隐私 保护 度 高 Suppression-based 
机 出入 比较 容易 实现 数据 失真 严重 Location tracking 


总 的 来 说 ,这 3 类 方法 各 有 优 缺 点 : 假 数据 法 计算 开销 小 ,实现 简单 ,但 是 算法 移植 性 
较 差 数据 可 用 性 /服务 质量 较 差 ; 而 泛 化 法 虽然 算法 移植 性 以 及 数据 可 用 性 /服务 质量 有 
较 高 的 提升 ,但 是 实现 代价 也 大 大 提高 ; 抑制 法 实现 简单 且 隐 私 保护 度 较 高 ,然而 数据 失真 
严重 。 设 计 隐 私 保 护 方法 时 ,要 根据 隐私 保护 的 需求 ,并 从 攻击 模型 出 发 ,选择 合适 的 隐私 
保护 算法 。 


(6.7 本 章 小 结 


云 计 算是 一 种 新 兴 的 商业 计算 模型 , 它 利 用 高 速 互联 网 的 传输 能 力 ,将 数据 的 处 理 过 程 
从 个 人 计算 机 或 服务 器 转移 到 一 个 大 型 的 计算 中 心 , 并 将 计算 能 力 、 存 储 能 力 当 作 服务 来 提 
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供 , 就 如 同 电力 、 自 来 水 一 样 按 使 用 量 进行 计 费 。 

云 服务 包括 三 种 典型 服务 模式 : 基础 设施 即 服务 .平台 即 服务 .软件 即 服务 。 

现 有 的 标志 性 云 平 台 包括 Google 云 计算 平 台 、IBM"“ 蓝 云 ? 计 算 平 台 、.Amazon 的 弹性 
计算 云 。 

云 计 算 系 统 运用 了 许多 技术 ,其 中 以 编程 模型 .数据 管理 技术 .数据 存储 技术 .虚拟 化 技 
术 ` 云 计算 平台 管理 技术 最 为 关键 。 

云 安全 的 几 大 核心 问题 包括 身份 与 权限 控制 .Web 安全 防护 、 虚 拟 化 的 安全 、 云 安全 
服务 。 

云 计 算 安 全 关键 技术 主要 包括 虚拟 机 安全 技术 、 海 量 用 户 的 身份 认证 、 隐 私 保护 与 数据 
安全 三 个 方面 。 

云 计算 技术 是 物 联 网 涵盖 的 技术 范畴 之 一 。 随 着 物 联 网 的 发 展 ,未 来 物 联网 将 势必 产 
生 海 量 数据 ,而 传统 的 硬件 架构 服务 器 将 很 难 满足 数据 管理 和 处 理 要 求 , 将 云 计算 运用 到 物 
联网 的 传输 层 和 应 用 层 ,采用 云 计算 的 物 联网 ,将 会 在 很 大 程度 上 提高 运作 效率 。 

云 计算 与 物 联网 的 结合 方式 包括 三 种 : 单 中 心 , 多 终端 方式 ; 多 中 心 , 大 量 终 端 方式 ; 
信息 、 应 用 分 层 处 理 , 海 量 终端 方式 。 

云 计 算 技术 应 用 于 物 联 网 可 以 解决 如 下 问题 : 服务 器 节点 不 可 信和 的 问题 ,可 以 最 大 限 
度 的 降低 服务 器 的 出 错 概率 ; 可 以 保障 物 联 网 在 低 的 投入 下 ,获得 很 好 的 经 济 收益 ; 可 以 
实现 物 联网 由 局 域 网 到 互联 网 的 过 程 。 

云 计算 与 物 联网 结合 面临 的 问题 包括 规模 问题 安全 问 题 ,网 络 连接 问题 .标准 化 问题 。 

中 间 件 是 一 种 独立 的 系统 软件 或 服务 程序 ,分 布 式 应 用 软件 借助 这 种 软件 在 不 同 的 技 
术 之 间 共 享 资源 ,中 间 件 位 于 客户 机 服务 器 的 操作 系统 之 上 ,管理 计算 资源 和 网 络 通信 。 

中 间 件 位 于 操作 系统 、 网 络 和 数据 库 的 上 层 ,应 用 程序 的 下 层 。 中 间 件 的 核心 作用 是 通 
过 管理 计算 资源 和 网 络 通信 ,为 各 类 分 布 式 应 用 软件 共享 资源 提供 支撑 。 广 义 地 看 ,中 间 件 
的 总 体 作用 是 为 处 于 自己 上 层 的 应 用 软件 提供 运行 与 开发 的 环境 ,帮助 用 户 灵活 地 ,高效 地 
开发 和 集成 复杂 的 应 用 软件 。 

基于 目的 和 实现 机 制 的 不 同 , 可 以 将 中 间 件 平台 分 为 以 下 几 类 : 远程 过 程 调 用 
(Remote Procedure Call Middleware, RPC)、 面 向 消息 的 中 间 件 (Message-Oriented 
Middleware, MOM)、 对 象 请 求 代 理 (Object Request Broker, ORB) 和 事务 处 理 监 控 
(Transaction Processing Monitor, TPM), 

RFID 中 间 件 是 一 种 面向 消息 的 中 间 件 ,信息 以 消息 的 形式 从 一 个 程序 传送 到 另 一 个 
或 多 个 程序 。 信 息 可 以 以 异步 的 形式 传送 ,所 以 传送 者 不 必 等 待 响应 。 

RFID 中 间 件 可 以 从 架构 上 分 为 以 应 用 程序 为 中 心 和 以 软件 架构 为 中 心 两 类 。 

RFID 中 间 件 的 特点 包括 独立 与 架构 ,数据 流 、 处 理 流 和 标准 。 

从 发 展 趋势 来 分 析 ,RFID 中 间 件 可 以 分 为 三 个 发 展 阶段 : 应 用 程序 中 间 件 阶段 ,架构 
中 间 件 阶段 和 解决 方案 中 间 件 阶段 。 

在 国际 上 ,目前 比较 知名 的 RFID 中 间 件 厂商 有 IBM、 Oracle、 Microsoft、SAP、Sun、 
Sybase、BEA 等 国际 知名 企业 。 由 于 这 些 软件 厂商 自身 都 具有 比较 雄厚 的 技术 储备 ,其 开 
发 的 RFID 中 间 件 产品 又 经 过 多 次 的 实验 室 、 企 业 实地 测试 ,RFID 中 间 件 产品 的 稳定 性 、 先 
进 性 海量 数据 的 处 理 能 力 都 比较 完善 ,已 经 得 到 了 企业 的 普遍 认可 。 
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RFID 技术 进入 中 国 的 时 间 比 较 短 ,各 方面 的 工作 还 处 于 起 始 阶段 。 虽 然 我 国政 府 在 
国家 十 一 五 规划 和 863 计划 中 ,对 RFID 应 用 提供 了 政策 项目 和 资金 的 支持 ,并 且 RFID 
在 国内 的 发 展 也 较为 迅速 ,但 与 国际 先进 技术 的 发 展 相 比 ,在 很 多 方面 还 存在 明显 的 差距 。 

RFID 中 间 件 的 设计 ,要 遵循 功能 全 面 、 容 易 设 计 、 便 于 维护 .具有 良好 的 扩展 性 和 可 移 
植 性 的 原则 。 设 计 RFID 中 间 件 至 少 要 解决 以 下 几 个 问题 : 屏蔽 下 层 硬件 ,兼容 不 同 的 
RFID 读 写 器 ; 对 硬件 设备 进行 统一 管理 ; 对 数据 流 进行 过 滤 和 分 组 ; 数据 接收 和 数据 格式 
转换 ; 中 间 件 的 安全 问题 ; 与 企业 应 用 程序 的 通信 。 

从 中 间 件 层 的 特点 来 分 析 ,访问 控制 的 实现 依赖 于 引用 监视 器 和 访问 策略 的 所 在 位 置 
和 实施 。 因 此 ,可 以 根据 安全 逻辑 的 实现 ,将 引用 监视 器 的 功能 分 成 决策 和 执行 两 部 分 。 

一 般 来 说 ,中 间 件 的 设计 应 遵循 整体 的 分 层 原则 ,中 间 件 的 系统 结构 自 下 向 上 可 以 分 为 
硬件 层 、 操 作 系统 安全 沙 箱 层 .业务 开发 展 和 应 用 层 。 

自 下 向 上 的 第 一 层 ,是 包含 各 种 不 同 设备 的 硬件 .操作 系统 和 驱动 程序 层 。 这 一 部 分 的 
差异 较 大 ,从 低 端 的 单片机 到 高 端的 DSP 数字 信号 处 理 器 或 者 PowerPC 通信 处 理 器 都 会 
出 现在 这 一 层 。 

自 下 向 上 的 第 二 层 , 是 运行 于 各 种 硬件 之 上 的 软件 环境 ,这 一 部 分 的 差异 较 硬件 层 小 ， 
通常 由 Linux 和 Windows CE 等 各 种 移动 终端 操作 系统 和 驱动 程序 组 成 ,其 功能 类 似 。 

移植 层 用 作 屏 项 底层 差异 ,实现 中 间 件 的 统一 实施 接口 ,同时 也 是 平台 的 主要 功能 的 体 
现 接 口 。 

中 间 件 的 关键 模块 是 中 间 件 安全 沙 箱 层 , 其 内 部 包含 多 种 执行 模块 ,如 RFID 模块 、 通 
信 模 块 和 硬件 控制 模块 等 ,所 有 的 模块 统一 位 于 一 个 安全 沙 箱 层 中。 该 安全 沙 箱 可 以 保证 
通信 协议 和 远程 控制 对 本 地 资源 的 安全 访问 。 

中 间 件 的 最 上 层 是 业务 开发 层 , 该 层 提供 给 本 地 或 远程 应 用 程序 调用 ,以 实现 相应 的 业 
务 功能 。 其 接口 设计 一 般 包 含 物 联 网 设备 的 控制 ,信息 读 写 .通信 、 显 示 、 授 权 认 证 等 通用 接 
口 ,并 将 这 些 模块 的 实现 映射 到 安全 沙 箱 中 解析 或 执行 。 

数据 信息 安全 是 指数 据 信 息 的 硬件 .软件 及 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 的 原因 
而 遭 到 破坏 、 更 改 、 汇 露 ,系统 连续 可 靠 正常 地 运行 ,数据 信息 服务 不 中 断 。 数 据 安全 主要 是 
指数 据 信息 的 完整 性 、 可 用 性 ,保密 性 和 可 靠 性 。 

数据 保护 既是 保证 数据 可 用 性 .同样 是 保证 业务 连续 性 。 数 据 保护 的 核心 是 建立 和 使 
用 数据 副本 的 技术 。 数 据 保护 技术 涉及 主要 有 备份 、 复 制 技术 镜像 技术 ,快照 技术 和 连续 
数据 保护 技术 等 。 

为 了 适应 和 满足 数据 共享 的 环境 和 要 求 ,DBMS 要 保证 整个 系统 的 正常 运转 ,防止 数 
据 意外 丢失 和 不 一 致 数据 的 产生 ,以 及 当 数 据 库 遭受 破坏 后 能 迅速 地 恢复 正常 ,这 就 是 数据 
库 的 保护 。 数 据 库 保 护 又 叫做 数据 库 控制 ,是 通过 四 方面 实现 的 , 即 安 全 性 控制 ,完整 性 控 
制 ,并 发 性 控制 和 数据 恢复 。 

数据 容 灾 (Disaster Tolerance) ,就 是 在 灾难 发 生 时 ,在 保证 应 用 系统 的 数据 尽量 少 丢 失 
的 情况 下 ,维持 系统 业务 的 连续 运行 。 衡 量 容 灾 系 统 有 三 个 主要 指标 : RPO、RTO 和 备份 
窗口 (backup window)。 一 个 容 灾 系统 中 实现 数据 容 灾 和 应 用 容 灾 采取 不 同 的 实现 技术 。 
数据 容 灾 的 技术 包括 数据 备份 技术 、 数 据 复制 技术 和 数据 管理 技术 等 ,而 应 用 容 灾 包括 灾难 
检测 技术 、 系 统 迁移 技术 和 系统 恢复 技术 等 。 
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简单 地 说 ,隐私 就 是 个 人 、 机 构 等 实体 不 愿意 被 外 部 世界 知晓 的 信息 。 在 具体 应 用 中 
隐私 即 为 数据 所 有 者 不 愿意 被 披露 的 敏感 信息 ,包括 敏感 数据 以 及 数据 所 表征 的 特性 。 

隐私 可 以 分 为 两 类 : 个 人 隐私 、 共 同 隐私 。 

数据 隐私 保护 的 效果 ,是 由 通过 攻击 者 披露 隐私 的 多 少 来 侧面 反映 的 。 现 有 的 隐私 度 
量 都 可 以 统一 用 “披露 风险 ”(Disclosure Risk) 来 描述 。 披 露 风险 表示 攻击 者 根据 所 发 布 的 
数据 和 其 他 背景 知识 (Background Knowledge) ,可 能 披露 隐私 的 概率 。 

数据 隐私 保护 技术 分 为 三 类 : 基于 数据 失真 (Distorting) 的 技术 、 基 于 数据 加 密 的 技术 
和 基于 限制 发 布 的 技术 。 

位 置 隐私 保护 不 是 指 要 保护 用 户 的 个 人 信息 不 被 他 人 使 用 ,而 是 指 用 户 对 个 人 的 位 置 
信息 进行 有 效 控制 的 权利 。 位 置信 息 是 一 种 特殊 的 个 人 隐私 信息 ,对 其 进行 保护 就 是 要 给 
予 所 涉及 的 个 人 决定 和 控制 自己 所 处 位 置 的 信息 何 时 、 如 何 及 在 何 种 程度 上 被 他 人 获知 的 
权利 。 

轨迹 隐私 是 一 种 特殊 的 个 人 隐私 , 它 是 指 个 人 运行 轨迹 本 身 含 有 的 敏感 信息 (如 访问 过 
的 敏感 位 置 ) ,或 者 由 运行 轨迹 推导 出 的 其 他 个 人 信息 (如 家 庭 住址 .工作 地 点 .生活 习惯 、 健 
康 状 况 等 )。 因 此 ,轨迹 隐私 保护 即 要 保证 轨迹 本 身 的 敏感 信息 不 泄露 ,又 要 防止 攻击 者 通 
过 轨迹 推导 出 其 他 的 个 人 信息 。 

轨迹 隐私 保护 技术 大 致 可 以 分 为 以 下 3 类 : 基于 假 数据 的 轨迹 隐私 保护 技术 、 基 于 泛 
化 法 的 轨迹 隐私 保护 技术 、 基 于 抑制 法 的 轨迹 隐私 保护 技术 。 

像 习 思考 是 

1. 简 述 云 计算 的 基本 概念 。 

2. 请 列 出 有 代表 性 的 云 计算 平台 。 

3. 请 列 出 三 种 典型 的 云 服 务 模式 ,并 分 别 说 明 每 一 种 服务 模式 的 内 容 。 

4. 云 计算 的 核心 技术 有 哪些 ? 

5. 与 传统 安全 相 比 , 云 计算 安全 具有 哪些 新 的 特征 ? 

6. 云 安全 的 核心 问题 有 哪些 ? 

7. 请 列举 几 个 最 严重 的 云 计算 安全 威胁 的 事件 。 

8. 云 计算 安全 关键 技术 包括 哪些 ? 

9. 虚拟 机 中 的 安全 问题 是 什么 ? 

10. 虚拟 机 中 采用 的 防护 方法 有 哪些 ? 


FN 
忆 


. 云 计算 环境 下 的 用 户 隐私 保护 和 数据 安全 主要 包括 哪些 内 容 ? 


12. 云 计算 与 物 联网 有 哪些 关系 ? 

13. 云 计算 与 物 联网 的 结合 方式 是 什么 ? 

14. 云 计算 与 物 联网 结合 面临 哪些 问题 ? 

15. 什么 是 中 间 件 ?请 给 出 IDC 对 中 间 件 的 定义 。 

16. 中 间 件 的 产生 与 迅速 发 展 的 原因 是 什么 ? 

17. 基于 目的 和 实现 机 制 的 不 同 ,可 以 将 中 间 件 平台 分 为 哪 几 类 ? 
18. RFID 中 间 件 的 发 展 可 以 分 为 哪些 阶段 ? 
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. 请 简要 说 明 在 国际 上 RFID 中 间 件 的 发 展现 状 。 

. 设计 RFID 中 间 件 至 少 要 解决 哪些 问题 ? 

. 在 通用 的 中 间 件 安全 模型 中 ,可 以 将 引用 监视 器 的 功能 分 成 哪些 部 分 ? 
. 请 遵循 整体 的 分 层 设计 原则 ,画图 描述 中 间 件 的 框架 。 

. 什么 是 沙 箱 技术 ? 

. 数据 安全 的 含义 是 什么 ? 数据 安全 要 素 是 哪些 ? 

. 用 于 数据 安全 的 技术 主要 有 哪些 ? 

. 数据 保护 含义 是 什么 ?” 衡量 数据 保护 的 两 个 重要 标准 是 什么 ? 
. 数据 保护 技术 实现 分 几 个 层次 ? 各 层次 使 用 的 技术 是 什么 ? 
.对 数据 库 的 保护 是 通过 哪儿 个 方面 实现 的 ? 

. 数据 库 怎 样 进行 并 发 控制 ? 怎样 避免 数据 库 操作 的 死 锁 ? 

. 简 述 数据 库 的 恢复 方法 。 

. 数据 容 灾 的 含义 是 什么 ? 衡量 数据 容 灾 的 主要 指标 是 什么 ? 
. 数据 容 灾 的 主要 技术 有 哪些 ? 

.什么 是 隐私 ? 隐私 保护 技术 分 为 哪些 类 别 ? 

. 什么 是 位 置 隐私 保护 ?如 何 实现 位 置 隐私 保护 ? 

. 什么 是 轨迹 隐私 保护 ? 

.如 何 实现 基于 假 数 据 的 轨迹 隐私 保护 技术 ? 

.如 何 实 现 基于 泛 化 法 的 轨迹 隐私 保护 技术 ? 

.如 何 实 现 基于 抑制 法 的 轨迹 隐私 保护 技术 ? 
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物 联 网 安全 管理 是 指导 和 控制 企业 的 关于 信息 安全 风险 的 相互 协调 活动 。 关 于 信息 安 
全 风险 的 指导 和 控制 活动 ,通常 包括 制订 信息 安全 方针 、 风 险 评估 、 控 制 目 标 与 方式 选择 、 风 
险 控制 、 安 全 保证 等 。 而 要 对 企业 的 信息 安全 进行 高 效 、 动 态 的 管理 ,就 必须 依据 信息 安全 
管理 模型 和 信息 安全 管理 标准 构建 企业 的 信息 安全 管理 体系 。 

信息 安全 管理 体系 (Information Security Management System,ISMS) 是 1998 年 前 后 
从 英国 发 展 起 来 的 信息 安全 领域 中 的 一 个 新 概念 ,是 管理 体系 (Management System,MS) 
思想 和 方法 在 信息 安全 领域 的 应 用 。 近 年 来 ,伴随 着 信息 安全 管理 体系 国际 标准 的 制订 ， 
ISMS 迅速 被 全 球 接受 和 认可 ,成 为 世界 各 国 、 各 种 类 型 .各 种 规模 的 企业 或 组 织 解决 信息 
安全 问题 的 一 个 有 效 方法 。ISMS 认证 随 之 成 为 企业 或 组 织 向 社会 及 其 相关 方 证 明 其 信息 
安全 水 平和 能 力 的 一 种 有 效 途 径 。 

信息 安全 管理 体系 是 企业 按照 信息 安全 管理 体系 相关 标准 的 要 求 ,制订 信息 安全 管理 方 
针 和 策略 ,采用 风险 管理 的 方法 进行 信息 安全 管理 计划 、 实 施 、 评 审 检 查 、 改 进 的 信息 安全 管理 
执行 的 工作 体系 。 信 息 安全 管理 体系 是 按照 ISO/IEC 27001 标准 《信息 技术 -安全 技术 -信息 安 
全 管理 体系 要 求 ) 的 要 求 建立 的 ,ISO/IEC 27001 标准 是 由 BS 7799-2 标准 发 展 而 来 的 。 

信息 安全 管理 体系 要 求 企业 通过 确定 信息 安全 管理 体系 范围 .制订 信息 安全 方针 、 明 确 
管理 职责 、 以 风险 评估 为 基础 选择 控制 目标 与 控制 方式 等 活动 建立 信息 安全 管理 体系 ; 体 
系 一 旦 建立 ,企业 应 按 体系 规定 的 要 求 进行 运作 ,保持 体系 运作 的 有 效 性 ; 信息 安全 管理 体 
系 应 形成 一 定 的 文件 , 即 企业 应 建立 并 保持 一 个 文件 化 的 信息 安全 管理 体系 ,其 中 应 曾 述 被 
保护 的 资产 ,企业 风险 管理 的 方法 ,控制 目 标 及 控制 方式 和 需要 的 保证 程度 。 


(.2 信息 安全 标准 化 组 织 


7.2.1 国际 信息 安全 标准 化 组 织 


国际 上 信息 安全 标准 化 工作 起 源 于 20 世纪 70 年 代 中 期 ,在 20 世纪 80 年 代 发 展 迅速 ， 
在 20 世纪 90 年 代 引 起 了 世界 各 国 的 普遍 关注 。 
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国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 (IEC) 是 世界 范围 的 标准 化 组 织 , 由 各 个 国家 
和 地 区 的 成 员 组 成 ,各 国 的 相关 标准 化 组 织 都 是 其 成 员 , 他 们 通过 各 技术 委员 会 ,参与 相关 
标准 的 制订 。 

为 了 更 好 地 协作 和 共同 规范 信息 技术 领域 ,国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 
(IEC) 成 立 了 联合 技术 委员 会 , 即 ISOVIEC JTC1 ,负责 信息 技术 领域 的 标准 化 工作 。 其 中 
的 子 委员 会 27 专门 负责 IT 安全 技术 领域 的 标准 化 工作 。 

目前 ,国际 上 共有 近 300 个 国际 和 区 域 性 组 织 制订 标准 或 技术 规则 。 总 的 来 说 ,与 信息 
安全 标准 化 相关 的 国际 信息 安全 标准 化 组 织 主要 是 以 下 4 个 国际 组 织 : 


1. 国际 标准 化 组 织 


国际 标准 化 组 织 (International Organization for Standardization ,ISO) 是 一 个 全 球 性 的 
非 政府 组 织 , 是 国际 标准 化 领域 中 一 个 十 分 重要 的 组 织 。ISO 一 词 来 源 于 希腊 语 “ISOS”， 
即 "EQUAL” 一 一 平等 之 意 。ISO 国际 标准 组 织 成 立 于 1946 年 ,中 国 是 ISO 的 正式 成 员 ， 
代表 中 国 参 加 ISO 的 国家 机 构 是 中 国 国家 技术 监督 局 (CSBTS) 。 

ISO 负责 目前 绝 大 部 分 领域 (包括 军工 、 石 油船 舱 等 垄断 行业 ) 的 标准 化 活动 。 截 至 
2013 年 5 月 ,ISO 共 有 163 个 成 员 国 。ISO 的 最 高 权利 机 构 是 每 年 一 次 的 “全 体 大 会 ”, 其 日 
常 办 事 机 构 是 中 央 秘 书 处 , 设 在 瑞士 日 内 瓦 。 中 央 秘 书 处 现 有 170 名 职员 ,由 秘书 长 领导 。 
ISO 的 宗旨 是 “在 世界 上 促进 标准 化 及 其 相关 活动 的 发 展 ,以 便于 商品 和 服务 的 国际 交换 ， 
在 智力 、 科 学 技术 和 经 济 领域 开展 合作 。”ISO 通过 它 的 2671 个 技术 机 构 开 展 技术 活动 ,其 
中 技术 委员 会 (SC) 共 611 个 ,工作 组 (WG)2022 个 ,特别 工作 组 38 个 。 中 国 于 1978 年 加 入 
ISO, 在 2008 年 10 月 的 第 31 届 国 际 化 标准 组 织 大 会 上 ,中 国正 式 成 为 ISO 的 常任 理事 国 。 

国际 标准 化 组 织 总 部 设 于 瑞士 日 内 瓦 ,该 组 织 自我 定义 为 非 政 府 组 织 , 官 方 语言 是 英 
语 、 法 语 和 俄语 。 参 加 者 包括 各 会 员 国 的 国家 标准 机 构 和 主要 公司 。 它 是 世界 上 最 大 的 非 
政府 性 标准 化 专门 机 构 , 是 国际 标准 化 领域 中 一 个 十 分 重要 的 组 织 。 

国际 标准 化 组 织 的 信息 技术 标准 化 委员 会 (ISO/IEC JTC1) 所 属 安 全 技术 分 委员 会 
(SC 27) 的 前 身 , 是 数据 加 密 分 技术 委员 会 (SC 20) ,主要 从 事 信息 技术 安全 的 一 般 方法 和 技 
术 的 标准 化 工作 。 

而 ISO/TC68 负责 与 银行 业务 应 用 范围 内 有 关 信 息 安 全 标准 的 制订 , 它 主要 制订 行业 
应 用 标准 ,在 组 织 上 和 标准 之 间 与 SC 27 有 着 密切 的 联系 。ISOVIEC JTC1 负责 制订 的 标 
准 主要 是 开放 系统 互 连 、 密 钥 管理 ,数字 签名 、 安 全 评估 等 方面 的 内 容 。 


2. 国际 电工 委员 会 


国际 电工 委员 会 (IEC) 成 立 于 1906 年 ,至 2015 年 已 有 109 年 的 历史 。 它 是 世界 上 成 立 
最 早 的 国际 性 电工 标准 化 机 构 , 负 责 有 关 电 气 工程 和 电子 工程 领域 中 的 国际 标准 化 工作 。 
国际 电工 委员 会 的 总 部 最 初 位 于 伦敦 ,1948 年 搬 到 了 位 于 日 内 瓦 的 现 总 部 处 。 在 1887 一 
1900 年 召开 的 6 次 国际 电工 会 议 上 ,与 会 专家 一 致 认为 有 必要 建立 一 个 永久 性 的 国际 电工 
标准 化 机 构 , 以 解决 用 电 安 全 和 电工 产品 标准 化 问题 。1904 年 在 美国 圣 路 易 召 开 的 国际 电 
工会 议 上 通过 了 关于 建立 永久 性 机 构 的 决议 。1906 年 6 月 ,13 个 国家 的 代表 集会 伦敦 ,起 
草 了 IEC 章程 和 议事 规则 ,正式 成 立 了 国际 电工 委员 会 。1947 年 作为 一 个 电工 部 门 并 入 国 
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际 标准 化 组 织 (ISO) ,1976 年 又 从 ISO 中 分 立 出 来 。 宗 旨 是 促进 电工 .电子 和 相关 技术 领 
域 有 关 电 工 标准 化 等 所 有 问题 上 (如 标准 的 合格 评定 ) 的 国际 合作 。 

在 信息 安全 标准 化 方面 ,除了 与 ISO 联合 成 立 了 JTC1 属 的 分 委员 会 外 , 它 还 在 电信 、 
电子 系统 、 信 息 技术 和 电磁 兼容 等 方面 成 立 了 技术 委员 会 ,并 为 信息 技术 设备 安全 (IEC 
60950) 等 制订 相关 国际 标准 。 


3. 国际 电信 联盟 


国际 电信 联盟 (International Telecommunication Union ,ITU) 简 称 为 国际 电 联 , 是 联合 
国 的 一 个 重要 专门 机 构 ,也 是 联合 国 机 构 中 历史 最 长 的 一 个 国际 组 织 。 

国际 电 联 是 主管 信息 通信 技术 事务 的 联合 国 机 构 , 负 责 分 配 和 管理 全 球 无 线 电 频谱 与 
卫星 轨道 资源 ,制订 全 球 电信 标准 ,向 发 展 中 国家 提供 电信 援助 ,促进 全 球 电信 发 展 。 

作为 世界 范围 内 联系 各 国政 府 和 私营 部 门 的 纽带 ,国际 电 联通 过 其 磨 下 的 无 线 电 通信 、 
标准 化 部 门 开展 活动 ,而 且 是 信息 社会 世界 高 峰会 议 的 主办 机 构 。 

国际 电 联 总 部 设 于 瑞士 日 内 瓦 , 其 成 员 包括 193 个 成 员 国 和 700 多 个 部 门 成 员 及 部 门 
准 成 员 和 学 术 成 员 。 每 年 的 5 月 17 日 是 世界 电信 日 (World Telecommunication Day) 。 

国际 电信 联盟 所 属 的 SG17 组 主要 负责 研究 通信 系统 安全 标准 。SG17 组 主要 研究 的 
内 容 包括 : 通信 安全 项 目 、 安 全 架构 和 框架 、 计 算 安全 ,安全 管理 .用 于 安全 的 生物 测定 、 安 
全 通信 服务 。 此 外 ,SG16 和 下 一 代 网 络 核心 组 也 在 通信 安全 、H323 网 络 安全 、 下 一 代 网 络 
安全 等 标准 方面 开展 了 研究 工作 。 


4. Internet 工程 任务 组 


互联 网 工程 任务 组 (The Internet Engineering Task Force,IETF) 成 立 于 1985 年 底 , 是 
全 球 互联 网 最 具 权 威 的 技术 标准 化 组 织 , 主 要 任务 是 负责 互联 网 相关 技术 规范 的 研发 和 制 
订 , 当 前 绝 大 多 数 国际 互联 网 技术 标准 都 出 自 IETF。 

IETF 是 一 个 由 为 互联 网 技术 工程 及 发 展 做 出 贡献 的 专家 自发 参与 和 管理 的 国际 民间 
机 构 。 它 汇集 了 与 互联 网 架构 演化 和 互联 网 稳定 运作 等 业务 相关 的 网 络 设计 者 、 运 营 者 和 
研究 人 员 ,并 向 所 有 对 该 行业 感 兴趣 的 人 士 开 放 。 

IETF 的 主要 任务 是 负责 互联 网 相关 技术 标准 的 研发 和 制订 ,是 国际 互联 网 业界 具有 
一 定 权威 的 网 络 相关 技术 研究 团体 。 

互联 网 工程 任务 组 制订 标准 的 具体 工作 由 各 个 工作 组 承担 ,工作 组 分 成 8 个 领域 ,涉及 
Internet 路 由 、 传 输 、 应 用 领域 等 等 ,包含 在 RFC 系列 之 中 的 IKE 和 IPSec, 还 有 电子 邮件 
网 络 认 证 和 密码 标准 ,此 外 ,也 包括 了 TLS 标准 和 其 他 的 安全 协议 标准 。 


7.2.2 中 国信 息 安全 标准 化 组 织 


中 国政 府 主管 部 门 以 及 各 行 各 业已 经 认识 到 了 信息 安全 的 重要 性 。 政 府 部 门 已 经 出 台 
了 一 系列 相关 的 政策 和 法 规 , 直 接 牵引 、 推 进 信息 安全 的 应 用 和 发 展 。 

由 中 国政 府 主导 的 各 大 信息 系统 工程 和 信息 化 程度 要 求 非常 高 的 相关 行业 ,也 开始 出 
台 信 息 安全 技术 产品 的 应 用 标准 和 规范 。 

物 联网 标准 的 划分 应 该 是 分 层次 的 ,如 传感器 的 、 应 用 的 、 传 输 的 等 ,或 者 细 化 为 芯片 、 
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电路 .通信 接口 、 路 由 等 层次 ,而 目前 我 国 在 物 联网 标准 方面 制订 的 主要 是 在 传感器 上 的 标 
准 , 是 传 感 网 络 路 由 层面 的 专利 。 

目前 ,我 国 物 联网 技术 的 研究 水 平 已 位 于 国际 前 列 , 与 德国 ,美国 .日 本 等 国 一 起 ,成 为 
国际 物 联 网 标准 制订 的 主要 国家 ,逐步 成 为 全 球 物 联网 产业 链 中 重要 的 一 环 。 


1. 信息 安全 标准 化 组 织 的 发 展 


目前 ,根据 中 国 国务 院 授权 ,在 国家 质量 监督 检验 检疫 总 局 管理 下 ,由 国家 标准 化 管理 
委员 会 统一 管理 全 国标 准 化 工作 ,下 设 有 255 个 专业 技术 委员 会 。 

中 国标 准 化 工作 实行 统一 管理 与 分 工 负 责 相 结合 的 管理 体制 ,分 工 管理 本 行政 区 域内 、 
本 部 门 、 本 行业 的 标准 化 工作 。 


2. 信息 安全 标准 化 组 织 


中 国 的 信息 安全 标准 化 组 织 主要 包括 以 下 几 个 : 

1) 中 国信 息 安全 标准 化 技术 委员 会 

成 立 于 1984 年 的 中 国信 息 技术 安全 标准 化 技术 委员 会 (CITS) ,在 国家 标准 化 管理 委 
员 会 和 信息 产业 部 的 共同 领导 下 ,负责 全 国信 息 技术 领域 以 及 与 ISO/IEC JTC1 相对 应 的 
标准 化 工作 ,下 设 24 个 分 技术 委员 会 和 特别 工作 组 ,是 目前 国内 最 大 的 标准 化 技术 委员 会 。 
它 是 一 个 具有 广泛 代表 性 、 权 威 性 和 军民 结合 的 信息 安全 标准 化 组 织 。 

2) 公安 部 信息 系统 安全 标准 化 技术 委员 会 

为 了 适应 我 国信 息 化 进程 的 飞速 发 展 ,保障 我 国信 息 系 统 和 信息 网 络 的 安全 ,促进 信息 
安全 产业 的 形成 和 发 展 ,满足 公安 机 关 对 信息 系统 实施 安全 保护 与 监察 的 工作 需要 ,更 好 地 
开展 信息 系统 安全 技术 领域 的 标准 化 工作 ,公安 部 信息 系统 安全 标准 化 技术 委员 会 于 1999 
年 3 月 经 公安 部 科技 局 批准 正式 成 立 。 主 要 任务 是 在 公安 部 的 领导 下 ,负责 规划 和 制订 我 
国信 息 安全 标准 和 技术 规范 ,监督 技术 标准 的 实施 。 

3) 中 国 通信 标准 化 协会 网 络 与 信息 安全 技术 工作 委员 会 

中 国 通信 标准 化 协会 网 络 与 信息 安全 技术 工作 委员 会 (CCSA) 成 立 于 2002 年 12 月 ， 
其 组 织 结构 如 图 7-1 所 示 。 


广 -一直 有 线 网 络 信息 安全 工作 组 


一 一 + 无 线 网 络 信息 安全 工作 组 
[一 一 安全 管理 工作 组 
安全 基础 设施 工作 组 


7-1 网 络 与 信息 安全 技术 工作 委员 会 


CCSA 下 设 了 有 线 网 络 信息 安全 、 无 线 网 络 信息 安全 、 安 全 管理 和 安全 基础 设施 4 个 工 
作 组 。 其 中 ,有 线 网 络 信息 安全 工作 组 主要 负责 研究 包括 有 线 网 络 中 电话 网 、 互 联网 、 传 输 


中 国 通信 标准 化 协会 
网 络 与 信息 安全 技术 工作 委员 会 
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网 、 接 人 网 等 在 内 所 有 电信 网 络 相关 的 安全 标准 ; 无 线 网 络 信息 安全 工作 组 主要 负责 研究 
无 线 网 络 中 接 人 、 核 心 网 .业务 等 相关 的 安全 标准 ; 安全 管理 工作 组 主要 负责 研究 有 线 网 络 
和 无 线 网 络 相关 的 管理 标准 ; 安全 基础 设施 工作 组 主要 负责 研究 网 络 安全 基础 设施 相关 的 
标准 。 

4) 中 国电 子 标签 国家 标准 工作 组 

2005 年 12 月 ,中 国电 子 标签 标准 工作 组 在 北京 正式 宣布 成 立 。 该 工作 组 的 任务 是 联 
合 社会 各 方面 力量 ,开展 电子 标签 标准 体系 的 研究 ,并 以 企业 为 主体 进行 标准 的 预先 研究 和 
制 / 修 订 工 作 。 中 国电 子 标签 国家 标准 工作 组 的 组 织 结构 如 图 7-2 所 示 。 


全 权 成 员 
成 员 
观察 成 员 
联络 员 
总 体 组 
知识 产权 组 
电子 标签 标准 工作 组 组 长 
频率 与 通信 组 
标签 与 读 写 器 组 
专题 组 
数据 格式 组 
本 信息 安全 组 
应 用 组 


图 7-2 中国 电子 标签 国家 标准 工作 组 的 组 织 结构 
5) 中 国 传感器 网 络 标准 工作 组 
2009 年 9 月 ,中 国 传 感 器 网 络 标准 工作 组 成 立 大 会 又 “感知 中 国 ” 高 峰 论 坛 在 北京 
举行 。 
中 国 传感器 网 络 标准 工作 组 是 由 国家 标准 化 管理 委员 会 批准 筹建 ,全 国信 息 技 术 标 准 


化 技术 委员 会 批准 成 立 并 领导 ,从 事 传感器 网 络 (简称 传 感 网 ) 标 准 化 工作 的 全 国 性 技术 
组 织 。 


6) 中 国 泛 在 网 技术 工作 委员 会 

2010 年 2 月 ,中 国 通信 标准 化 协会 (CCSA) 泛 在 网 技术 工作 委员 会 (TC10) 成 立 大 会 又 
第 一 次 全 会 在 北京 召开 。 

TC10 的 成 立 ,标志 着 CCSA 今后 泛 在 网 技术 与 标准 化 的 研究 将 更 加 专业 化 、 系 统 化 、 
深入 化 , 必 将 进一步 促进 电信 运营 商 在 泛 在 网 领域 进行 积极 的 探索 和 有 益 的 实践 ,不 断 优 化 
设备 制造 商 的 技术 研发 方案 ,推动 泛 在 网 产业 健康 快速 发 展 。 

7) 中 国 物 联网 标准 联合 工作 组 

2010 年 6 月 ,在 国家 标准 化 管理 委员 会 .工业 和 信息 化 部 等 相关 部 委 的 共同 领导 和 直 
接 指导 下 ,由 全 国 工业 过 程 测量 和 控制 标准 化 技术 委员 会 ,全 国 智能 建筑 及 居住 区 数字 化 标 
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准 化 技术 委员 会 .全 国 智能 运输 系统 标准 化 技术 委员 会 等 19 家 现 有 标准 化 组 织 联合 倡导 并 
发 起 成 立 物 联网 标准 联合 工作 组 。 


3. 中 国信 息 安 全 标准 体系 研究 特点 


(1) 基于 信息 内 容 的 过 滤 和 管制 技术 将 越 来 越 受 关注 。 

(2) 防范 和 治理 垃圾 信息 成 为 网 络 安全 研究 重要 内 容 。 

(3) 网 络 与 信息 安全 研究 重点 将 逐渐 从 设备 层面 向 网 络 层面 转移 。 

(4) 业务 安全 越 来 越 成 为 运营 商 研究 重点 。 

(5) 认证 技术 将 研究 和 梳理 ,生物 鉴别 成 为 重要 内 容 。 

(6) 网 络 建设 将 重视 信任 体系 的 建设 。 

(7) 互联 网 安全 将 进一步 研究 ,其 成 果 将 适用 于 下 一 代 网 以 及 3G 核心 网 。 

(8) 网 络 上 信息 安全 将 划分 责 权 ,网 络 侧重 负责 部 分 私密 性 (隔离 ) 和 完整 性 ,机 密 性 和 
不 可 否认 性 由 端 到 端 保障 。 

(9) 安全 管理 中 的 安全 风险 评估 将 成 为 安全 研究 重要 内 容 。 


4. 中 国信 息 安全 标准 化 的 发 展 趋势 


(1) 走 国际 化 合作 之 路 。 
(2) 走 商 业 化 发 展 之 路 。 
(3) 明确 研究 方向 。 


0.3 信息 安全 管理 模型 
2 


信息 安全 管理 模型 是 对 信息 安全 管理 的 一 个 抽象 化 描述 。 它 是 企业 建立 安全 管理 体系 
的 基础 。 目 前 ,在 对 安全 理论 、 安 全 技术 和 安全 标准 研究 的 基础 上 ,不 同 的 组 织 都 提出 了 相 
应 的 信息 安全 管理 模型 。 这 些 模型 的 侧重 点 各 有 不 同 ,信息 安全 的 管理 方式 也 不 同 。 以 下 
着 重 介绍 OSI 安全 体系 结构 模型 ,其 他 信息 安全 管理 模型 则 作 简 要 的 介绍 。 


7.3.1 OSI 安全 体系 结构 模型 


OSI 安全 体系 结构 模型 是 根据 OSI 七 层 协议 模型 建立 的 。 也 就 是 说 ,OSI 安全 体系 结 
构 与 OSI 网 络 模型 的 七 层 是 相对 应 的 。 在 不 同 的 层次 上 都 有 不 同 的 安全 技术 。OSI 安全 
体系 结构 模型 如 图 7-3 所 示 。 

在 OSI 安全 体系 结构 模型 中 ,每 一 层 采 用 的 安全 技术 如 下 。 


1. 数据 链 路 层 


在 数据 链 路 层 ,OSI 安全 体系 结构 模型 采用 点 到 点 通道 协议 (PPTP) 和 第 二 层 通道 协议 
2 

点 到 点 通道 协议 PPTP ,英文 全 称 为 Point to Point Tunneling Protocol。 它 是 一 种 支持 
多 协议 虚拟 专用 网 的 新 型 技术 ,可 以 使 远程 用 户 通过 Internet 安全 地 访问 企业 网 。 这 就 是 


应 用 程序 代理 “c 一 一 一 一 一 > 应 用 层 


SOCKS 一 一 > 会 话 层 

TLSSSL “cr 传输 层 

IPsece cr 一 一 网 络 层 
PPTPIL2TP CC oO Oo > 数据 链 路 层 


物理 层 


图 7-3 OSI 安全 体系 结构 模型 


通常 所 用 的 VPN 技术 。 使 用 PPTP 协议 ,远程 用 户 可 以 通过 任意 一 款 网 络 操作 系统 连接 
到 Internet, 再 通过 公 网 连接 到 企业 网 络 。 即 通过 PPTP 协议 在 所 用 的 信道 上 建立 了 一 个 
简单 的 加 密 隧 道 。 

基于 PPTP 协议 的 VPN 企业 虚拟 专用 网 如 图 7-4 所 示 。 


图 7-4 基于 PPTP 的 VPN 企业 虚拟 专用 网 


第 二 层 通 道 协议 (L2TP) 是 Cisco 公司 提出 的 把 L2F 与 PPTP 相 结 合 的 一 个 协议 。 
L2TP 有 一 部 分 采用 的 是 PPTP 协议 ,比如 同样 可 以 对 网 络 数据 流 进行 加 密 。 不 过 也 有 不 
同 之 处 ,比如 PPTP 要 求 网 络 为 IP 网络,L2TP 要 求 面向 数据 包 的 点 对 点 连接 ; PPTP 使 用 
单一 隧道 ,L2TP 使 用 多 隧道 ; L2TP 提供 包头 压缩 、 隧 道 验证 ,而 PPTP 不 支持 。 


2. 网 络 层 


在 网 络 层 ,OSI 安全 体系 结构 模型 采用 IP 安全 协议 (IPSec) 。 
早 在 IPv4 的 最 初 设计 时 ,仅仅 考虑 了 信息 资源 的 共享 ,并 没有 过 多 地 考虑 到 网 络 安全 
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问题 ,因此 无 法 从 根本 上 防止 网 络 层 攻击 。 在 现 有 的 IPv4 上 应 用 IPSec 可 以 加 强 其 安全 
性 ,IPSec 在 网 络 层 提供 了 IP 报 文 的 机 密 性 、 完 整 性 、IP 报 文 源 地 址 认证 以 及 抗 伪 地 址 的 攻 
击 能 力 。IPSec 可 以 保护 在 所 有 支持 IP 的 传输 介质 上 的 通信 ,保护 所 有 运行 于 网 络 层 上 的 
所 有 协议 在 主机 间 进 行 安全 传输 。IPSec 网 关 可 以 安装 在 需要 安全 保护 的 任何 地 方 ,如 路 
由 器 、 防 火 墙 , 应 用 服务 器 或 客户 机 等 。IPSec 协议 的 数据 封装 格式 如 图 7-5 所 示 。 


应 用 层 应 用 数据 

传输 层 TCP 头 应 用 数据 

| ”网 络 层 | IP 头 TCP 头 “| 应 用 数据 
IPSec 封 装 IlPSec 头 IP 头 TCP 头 应 用 数据 
数据 链 路 层 帧 类 ”| IPSec 头 IP 头 TCP 头 “| 应 用 数据 


图 7-5 IPSec 协议 的 数据 封装 格式 


IPSec 协议 主要 由 三 个 部 分 组 成 : 

(1) AH(Authentication Header) 认 证 报头 ,提供 对 报 文 完整 性 的 报 文 的 源 地 址 进行 
认证 。 

(2) ESP(Encapsulating Security Payload) 封 装 安全 载荷 ,提供 对 报 文 内 容 的 加 密 和 认 
证 功能 。 

(3) IKE(Internet Key Exchange)Internet 密 钥 交 换 ,协商 信 源 和 信和 宿 节 点 间 保 护 IP 报 
文 的 AH 和 ESP 的 相关 参数 ,如 加 密 、 认 证 的 算法 和 密 钥 、 密 钥 的 生存 时 间 等 。AH 和 ESP 
是 网 络 层 协 议 ,IKE 是 应 用 层 协 议 。 一 般 情况 下 ,IPSec 仅 指 网 络 层 协 议 AH 和 ESP。 由 于 
IPSec 服务 是 在 网 络 层 提供 的 ,任何 上 层 协议 都 可 以 使 用 此 服务 。 


3. 传输 层 


在 传输 层 ,OSI 安全 体系 结构 模型 采用 安全 套 接 层 协议 (SSL) 和 传输 层 安 全 协议 
(TLS) 。 

安全 套 接 层 (Secure Sockets Layer,SSL) 是 美国 网 景 公司 (Netscape) 在 推出 Web 浏览 
器 首 版 的 同时 ,提出 的 加 密 协 议 。SSL 位 于 传输 层 上 ,其 结构 如 图 7-6 所 示 。 

SSL 采用 公开 密 钥 技术 ,保证 两 个 应 用 间 通 信 的 保密 性 和 可 靠 性 ,使 客户 与 服务 器 应 
用 之 间 的 通信 不 被 攻击 者 窃听 。 可 在 服务 器 和 客户 机 两 端 同时 实现 支持 ,目前 已 成 为 互联 
网 上 保密 通信 的 工业 标准 ,现行 Web 浏览 器 普遍 将 Http 和 SSL 相 结 合 , 从 而 实现 安全 通 
信 。SSL 协议 的 优势 在 于 它 是 与 应 用 层 协议 独立 无 关 的 。 高 层 的 应 用 层 协议 (例如 : Http、 
FTP Telnet 等 等 ) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协议 通信 之 前 就 已 
经 完成 加 密 算 法 .通信 密 钥 的 协商 以 及 服务 器 认证 工作 。 在 此 之 后 应 用 层 协议 所 传送 的 数 
据 都 会 被 加 密 ,从 而 保证 通信 的 私密 性 。 

传输 层 安 全 协议 (Transport Layer Security,TLS) 是 确保 互联 网 上 通信 应 用 和 其 用 户 
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SA 


应 用 层 HTTP 
SSL 
传输 层 TCP 
网 络 层 IP 
数据 链 路 层 低层 协议 


图 7-6 SSL 安全套 接 层 协议 结构 图 


隐私 的 协议 。 当 服务 器 和 客户 机 进行 通信 ,TLS 确保 没有 第 三 方 能 窃听 或 盗 取 信息 。TLS 
是 安全 套 接 层 (SSL) 的 后 继 协 议 。TLS 由 两 层 构成 : TLS 记录 协议 和 TLS 握手 协议 。 
TLS 记录 协议 使 用 机 密 方法 ,如 数据 加 密 标准 (DES) ,来 保证 连接 安全 。TLS 记录 协议 也 
可 以 不 使 用 加 密 技术 。TLS 握手 协议 使 服务 器 和 客户 端 在 数据 交换 之 前 进行 相互 鉴定 ,并 
协商 加 密 算法 和 密 钥 。TLS 利用 密 钥 算法 在 互联 网 上 提供 端点 身份 认证 与 通信 保密 ,其 基 
础 是 公 钥 基础 设施 (Public Key Infrastructure,PKI)。 不 过 在 实现 的 典型 例子 中 ,只 有 网 络 
服务 器 被 可 靠 身 份 验证 ,而 其 客户 端 则 不 一 定 。 这 是 因为 公 钥 基 础 设施 普遍 商业 运营 ,电子 
签名 证 书 相当 昂贵 ,普通 大 众 很 难 买 得 起 证 书 。 协 议 的 设计 在 某 种 程度 上 能 够 使 主 从 式 架 
构 应 用 程序 通信 本 身 预防 窃听 ,干扰 (Tampering) 和 消息 伪造 。 


4. 会 话 层 


:会 话 层 ,OSI 安全 体系 结构 模型 采用 SOCKS 代理 技术 。 

SOCKS 是 一 种 网 络 传输 协议 , 主要 用 于 客户 端 与 外 网 服务 器 之 间 通 信 的 中 间 传 递 。 
SOCKS 是 SOCKetS 的 缩写 。 

当 防 火 墙 后 的 客户 端 要 访问 外 部 的 服务 器 时 ,就 跟 SOCKS 代理 服务 器 连接 。 这 个 代 
理 服 务 器 控制 客户 端 访问 外 网 的 资格 ,允许 的 话 , 就 将 客户 端的 请 求 发 往外 部 的 服务 器 。 这 
个 协议 最 初 由 Devid Koblas 开发 ,而 后 由 NEC 的 Ying-Da Lee 将 其 扩展 到 版 本 4。 最 新 协 
议 是 版 本 5, 与 前 一 版 本 相 比 ,增加 支持 UDP、 验 证 以 及 IPv6。 根 据 OSI 模型 ,SOCKS 是 位 
于 应 用 层 与 传输 层 之 间 的 中 间 层 。 


5. 应 用 层 


在 应 用 层 ,OSI 安全 体系 结构 模型 采用 应 用 程序 代理 技术 。 

应 用 程序 代理 工作 在 应 用 层 之 上 ,位 于 客户 端 与 服务 器 之 间 ,完全 阻挡 了 二 者 间 的 数据 
交流 。 从 客户 端 来 看 ,代理 服务 器 相当 于 一 台 真 正 的 服务 器 ; 而 从 服务 器 来 看 ,代理 服务 器 
又 是 一 台 真 正 的 客户 机 。 当 客户 端 需要 使 用 服务 器 上 的 数据 时 ,首先 将 数据 请 求 发 给 代理 
服务 器 ,代理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ,然后 再 由 代理 服务 器 将 数据 传输 给 
客户 端 。 由 于 外 部 系统 与 内 部 服务 器 之 间 没 有 直接 的 数据 通道 ,外 部 的 恶意 侵害 也 就 很 难 
伤害 到 企业 内 部 网 络 系统 。 并 对 应 用 层 以 下 的 数据 透明 。 应 用 层 代 理 服 务 器 用 于 支持 代理 
的 应 用 层 协 议 , 如 : HTTP、HTTPS、FTP、TELNET 等 。 由 于 这 些 协议 支持 代理 ,所 以 只 
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要 在 客户 端的 浏览 器 或 其 他 应 用 软件 中 设置 “代理 服务 器 "项 ,设置 好 代理 服务 器 的 地 址 , 客 
户 端的 所 有 请 求 将 自动 转发 到 代理 服务 器 中 。 然 后 由 代理 服务 器 处 理 或 转发 该 请 求 。 


7.3.2 P2DR 信息 安全 模型 


P2DR 模型 是 美国 ISS 公司 提出 的 动态 网 络 安全 体系 模型 ,也 是 动态 安全 模型 的 雏形 。 
P2DR 模型 包括 四 个 主要 部 分 : Policy( 安 全 策略 )、Protection (防护 )、 Detection (检测 ) 和 
Response( 响 应 ) 。P2DR 模型 的 结构 如 图 7-7 所 示 。 


响应 


图 7-7 P2DR 信息 安全 模型 


1. 策略 


策略 是 模型 的 核心 ,所 有 的 防护 、 检 测 和 响应 都 是 依据 安全 策略 实施 的 。 网 络 安全 策略 
-~ 般 包括 总 体 安全 策略 和 具体 安全 策略 2 个 部 分 。 


2. 防护 


防护 是 根据 系统 可 能 出 现 的 安全 问题 而 采取 的 预防 措施 ,这 些 措施 通过 传统 的 静态 安 
全 技术 实现 。 采 用 的 防护 技术 通常 包括 数据 加 密 、 身 份 认证 ,访问 控 制 、 授 权 和 虚拟 专用 网 
(VPN) 技 术 、 防 火 墙 ,安全 扫描 和 数据 备份 等 。 


3. 检测 


当 攻 击 者 穿 透 防 护 系统 时 ,检测 功能 就 发 挥 作用 ,与 防护 系统 形成 互补 。 检 测 是 动态 响 
应 的 依据 。 


4. 响应 


系统 一 旦 检测 到 入 侵 , 响 应 系统 就 开始 工作 ,进行 事件 处 理 。 响 应 包括 紧急 响应 和 恢复 
处 理 ,恢复 处 理 又 包括 系统 恢复 和 信息 恢复 。 
P2DR 模型 是 在 整体 的 安全 策略 的 控制 和 指导 下 ,在 综合 运用 防护 工具 (如 防火 墙 、 操 
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作 系 统 身份 认证 ,加 密 等 ) 的 同时 ,利用 检测 工具 (如 漏洞 评估 、 入 侵 检 测 等 ) 了 解 和 评估 系统 
的 安全 状态 ,通过 适当 的 反应 将 系统 调整 到 “最 安全 ”和 “风险 最 低 ” 的 状态 。 防 护 、 检 测 和 响 
应 组 成 了 一 个 完整 的 ,动态 的 安全 循环 ,在 安全 策略 的 指导 下 保证 信息 系统 的 安全 。 

P2DR 模型 的 基本 原理 是 ,认为 信息 安全 相关 的 所 有 活动 ,不 管 是 攻击 行为 .防护 行为 、 
检测 行为 和 响应 行为 等 等 都 要 消耗 时 间 。 因 此 可 以 用 时 间 来 衡量 一 个 体系 的 安全 性 和 安全 
能 力 。 

作为 一 个 防护 体系 , 当 入 侵 者 要 发 起 攻击 时 ,每 一 步 都 需要 花费 时 间 。 当 然 攻 击 成 功 花 
费 的 时 间 就 是 安全 体系 提供 的 防护 时 间 Pt; 在 人 侵 发 生 的 同时 ,检测 系统 也 在 发 挥 作用 , 检 
测 到 入 侵 行为 也 要 花费 时 间 一 一 检测 时 间 Dt; 在 检测 到 入 侵 后 ,系统 会 做 出 应 有 的 响应 动 
作 , 这 也 要 花费 时 间 一 一 响应 时 间 Rt。 

根据 P2DR 信息 安全 模型 ,我 们 可 以 通过 一 些 典型 的 数学 公式 ,量化 地 表达 信息 安全 的 
要 求 : 

公式 1: Pt>>Dt 十 Rt 

公式 2: 如 果 Pt=0, 则 Et=Dt 十 Rt 

Pt 代表 系统 为 了 保护 安全 目标 设置 各 种 保护 后 的 防护 时 间 ; 或 者 理解 为 在 这 样 的 保护 
方式 下 ,黑客 (入 侵 者 ) 攻 击 安全 目标 所 花费 的 时 间 。Dt 代表 从 入 侵 者 开始 发 动人 侵 开 始 ， 
系统 能 够 检测 到 入 侵 行 为 所 花费 的 时 间 。Rt 代表 从 发 现 入 侵 行为 开始 ,系统 能 够 做 出 足够 
的 响应 ,将 系统 调整 到 正常 状态 的 时 间 。 那 么 ,针对 于 需要 保护 的 安全 目标 ,如 果 上 述 数 学 
公式 满足 防护 时 间 大 于 检测 时 间 加 上 响应 时 间 ,也 就 是 在 入侵 者 危害 安全 目标 之 前 ,入 侵 就 
能 被 检测 到 并 及 时 处 理 。 

公式 2 的 前 提 是 假设 防护 时 间 Pt 为 0。Dt 代表 从 入 侵 者 破坏 了 安全 目标 系统 开始 , 系 
统 能 够 检测 到 破坏 行为 所 花费 的 时 间 。Rt 代表 从 发 现 遭 到 破坏 开始 ,系统 能 够 做 出 足够 的 
响应 ,将 系统 调整 到 正常 状态 的 时 间 。 比 如 ,对 Web Server 被 破坏 的 页 面 进行 恢复 。 那 么 ， 
Dt 与 Rt 的 和 就 是 该 安全 目标 系统 的 暴露 时 间 Et。 针 对 于 需要 保护 的 安全 目标 ,如 果 Et 越 
小 系统 就 越 安全 。 

通过 上 面 两 个 公式 的 描述 ,实际 上 给 出 了 安全 一 个 全 新 的 定义 :“ 及 时 的 检测 和 响应 就 
是 安全 ”,“ 及 时 的 检测 和 恢复 就 是 安全 ”。 而 且 , 这 样 的 定义 为 安全 问题 的 解决 给 出 了 明确 
的 方向 : 提高 系统 的 防护 时 间 Pt. 降 低 检测 时 间 Dt 和 响应 时 间 Rt。 

P2DR 模型 存在 一 个 明显 的 弱点 ,就 是 忽略 了 内 在 的 变化 因素 ,如 人 员 的 流动 人 员 的 
素质 和 策略 贯彻 的 不 稳定 性 。 实 际 上 ,安全 问题 牵涉 面 广 ,除了 涉及 防护 、 检 测 和 响应 ,系统 
本 身 安全 的 "免疫 力 ” 的 增强 .系统 和 整个 网 络 的 优化 ,以 及 人 员 这 个 在 系统 中 最 重要 角色 的 
素质 提升 ,都 是 该 安全 系统 没有 考虑 到 的 问题 。 


7.3.3 PDRR 信息 安全 模型 


PDRR 信息 安全 模型 的 结构 如 图 7-8 所 示 。PDRR (Protection Detection Response 
Recovery) 是 一 个 比较 成 熟 的 网 络 安全 模型 , 它 可 以 用 于 信息 安全 管理 。 这 个 模型 由 防御 、 
检测 响应、 恢复 组 成 一 个 动态 的 信息 安全 周期 。 安 全 策略 共有 四 个 部 分 ,每 一 部 分 分 别 实 
现 一 定 的 安全 功能 。 安 全 策略 的 第 一 部 分 是 防御 。 根 据 系统 已 知 的 所 有 的 安全 问题 做 出 防 
御 措施 ,例如 打 补 丁 \ 访 问 控制 ,数据 加 密 等 。 安 全 策略 的 第 二 部 分 是 检测 。 假 如 攻击 者 穿 
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过 了 防御 系统 ,检测 系统 就 会 检测 出 来 。 这 一 部 分 的 功能 是 检测 人 侵 者 的 身份 ,包括 攻击 
源 、 系 统 受 损 状况 等 。 安 全 策略 的 第 三 部 分 是 响应 。 一 旦 检测 出 入侵 ,响应 部 分 就 立即 作出 
反应 ,包括 事件 处 理 和 其 他 业务 。 安 全 策略 的 最 后 一 个 部 分 是 恢复 。 在 入 侵 事 件 发 生 后 ,把 
系统 恢复 到 原来 的 状态 。 


图 7-8 PDRR 信息 安全 模型 


7.3.4 PDCA 持续 改进 模型 
PDCA 持续 改进 模型 的 结构 如 图 7-9 所 示 。 


持续 发 展 


图 7-9 PDCA 持续 改进 模型 


这 个 模型 分 为 四 个 阶段 。 

(1) 策划 阶段 : 根据 企业 的 商务 运作 需求 (包括 顾客 的 信息 安全 需求 ) 和 有 关 法 律 法 规 
的 要 求 , 确 定安 全 管理 的 范围 和 策略 ,通过 风险 评估 建立 控制 目标 与 方式 ,包括 必要 的 过 程 
与 商务 持续 性 计划 ; 

(2) 实施 阶段 : 即 实施 的 过 程 ,企业 要 根据 策略 ,程序 、 规 章 等 规定 的 要 求 ,按照 所 选 定 
的 控制 目标 与 方式 进行 信息 安全 控制 ; 

(3) 检查 阶段 : 根据 策略 、 目 标 、 安 全 标准 及 法 律 法 规 的 要 求 ,对 安全 管理 过 程 和 信息 
系统 的 安全 进行 监视 与 验证 ,并 报告 检查 结果 ; 

(4) 措施 阶段 : 对 策略 适宜 性 进行 评审 和 评估 ,评价 信息 安全 管理 系统 的 有 效 性 ,采取 
相应 的 措施 ,持续 改进 。 
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7.3.5 HTP 信息 安全 模型 


HTP 信息 安全 模型 的 结构 如 图 7-10 所 示 。 


体系 建设 


图 7-10 HTP 信息 安全 模型 


HTP 信息 安全 模型 由 三 个 部 分 组 成 : 人 员 和 管理 (Human and Management) 技术 和 
产品 (Technology and Products) ,流程 和 体系 (Process and Framework) 。 


1. 人 员 和 管理 


从 国家 安全 的 角度 分 析 , 有 法 律 法 规 .政策 问题 从 企业 安全 的 角度 分 析 , 有 安全 方针 
政策 程序 、 安 全 管理 ,安全 教育 与 培训 、 组 织 文化 、 应 急 计 划 和 持续 性 管理 等 问题 从 个 人 安 
全 的 角度 分 析 , 有 职业 要 求 . 个 人 隐私 、 行 为 学 、 心 理学 等 问题 。 人 是 信息 安全 最 活跃 的 因 
素 , 人 的 行为 是 信息 安全 保障 的 重要 方面 。 


2. 技术 和 产品 


企业 可 以 依据 * 适 度 防范 ”的 原则 综合 采用 商用 密码 、 防 火 墙 、 防 病毒 .身份 识别 、 网 络 隔 
离 . 可 信服 务 .安全 服务 、 备 份 恢复 .PKI 服务 、 取 证 、 网 络 入 侵 陷阱 、 主 动 反击 等 多 种 技术 和 
产品 来 保护 信息 系统 安全 。 

3. 流程 和 体系 


企业 应 当 遵 循 国内 外 相关 的 信息 安全 标准 与 最 佳 实践 过 程 ,满足 信息 安全 的 各 个 层面 
的 实际 需求 。 在 风险 分 析 的 基础 上 .引入 恰当 的 控制 措施 ,建立 合理 的 安全 管理 体系 ,从 而 
保证 企业 赖 以 生存 的 信息 资产 的 安全 性 、 完 整 性 和 可 用 性 。 


0.4 信息 安全 管理 标准 
2 


2000 年 12 月 ,国际 标准 化 组 织 ISO 正式 发 布 了 有 关 信 息 安全 的 国际 标准 (国际 信息 安 
全 管理 标准 体系 》(ISO 17799) ,这 个 标准 包括 信息 系统 安全 管理 和 安全 认证 两 大 部 分 ,是 参 
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照 英 国 国 家 标准 BS 7799 发 展 而 来 的 。 它 是 一 个 详细 的 信息 管理 安全 标准 ,包括 安全 内 容 
的 所 有 准则 ,由 两 大 部 分 组 成 ,每 一 部 分 都 覆盖 了 不 同 的 主题 和 区 域 。 


7.4.1 英国 BS 7799 标准 产生 的 背景 及 其 产生 


由 英国 标准 协会 (BSIT 制订 的 信息 安全 管理 体系 标准 BS 7799 分 为 两 大 部 分 , 即 BS 
7799-Part 1 及 BS 7799-Part 2。 这 个 标准 为 企业 及 各 种 组 织 进行 信息 安全 管理 提供 了 一 个 
完整 的 管理 框架 。 信 息 安全 管理 标准 引导 企业 或 组 织 建立 一 个 完整 的 信息 安全 管理 体系 ， 
对 信息 安全 进行 动态 的 管理 ,以 分 析 企业 或 组 织 面临 的 安全 风险 为 起 点 ,对 企业 的 信息 安全 
风险 进行 动态 的 、 全 面 的 有 效 的 ,不 断 改进 的 管理 ,并 强调 信息 安全 管理 的 目的 是 保持 企业 
或 组 织 业务 的 连续 性 不 受信 息 安全 事件 的 破坏 ,要 从 企业 或 组 织 现 有 的 资源 和 管理 基础 为 
出 发 点 ,建立 信息 安全 管理 体系 (ISMS) ,不 断 改 进 信息 安全 管理 的 水 平 ,使 企业 或 组 织 的 信 
息 安 全 以 最 小 代价 达到 需要 的 水 准 。 

保护 信息 安全 ,建立 信息 安全 管理 体系 是 保障 企业 及 组 织 安全 营运 的 重要 工作 之 一 。 
BS 7799-Part 2 是 目前 建立 信息 安全 管理 体系 最 重要 的 参考 依据 , 它 以 “计划 (Plan)、 实 施 
(Do) ,检查 (Check) ,行动 (Action) ”模式 ,将 管理 体系 规范 导入 企业 或 组 织 ,以 达到 “持续 改 
进 ” 的 目的 。 

随 着 在 世界 范围 内 信息 化 水 平 的 不 断 发 展 和 贸易 全 球 一 体 化 的 不 断 普 及 和 深入 ,信息 
系统 在 企业 和 组 织 中 得 到 了 广泛 的 应 用 。 许 多 企业 对 其 信息 系统 不 断 增 长 的 依赖 性 ,加 上 
在 信息 系统 上 运作 业务 的 风险 收益 和 机 会 ,使 得 信息 安全 管理 成 为 企业 管理 越 来 越 关键 的 
一 部 分 ; 在 很 多 的 场合 , 它 已 经 成 为 一 个 企业 或 组 织 生死 存亡 或 贸易 亏 盈 成 败 中 起 决定 性 
的 因素 ,因此 信息 安全 逐渐 成 为 人 们 关注 的 焦点 。 世 界 范围 内 的 各 国家 、 机 构 、 组 织 . 个 人 都 
在 探寻 如 何 保障 信息 安全 的 问题 ,各 相关 部 门 和 研究 机 构 也 纷纷 投入 相当 的 人 力 、 物 力 和 资 
金 试图 来 解决 信息 安全 问题 。 

在 企业 的 管理 者 想方设法 保障 本 企业 的 信息 安全 的 同时 ,破坏 者 也 道 高 一 尺 、. 魔 高 一 
丈 ,数不胜数 的 计算 机 病毒 、 防 不 胜 防 的 电脑 黑客 .各 类 层出不穷 的 泄密 事故 就 是 明证 。 就 
拿 中 国 来 说 ,近年 来 也 接连 不 断 地 出 现 了 程度 不 同 的 信息 安全 事件 ,这 些 事件 不 仅仅 是 简单 
的 信息 系统 瘫痪 的 问题 ,其 直接 后 果 是 导致 巨大 的 经 济 损失 ,还 造成 了 不 良 的 社会 影响 。 如 
果 说 经 济 损失 还 能 弥补 ,那么 由 于 信息 网 络 的 脆弱 性 而 引起 的 公众 对 网 络 社会 的 诚信 和 危机 
则 不 是 短 时 期 内 可 能 恢复 的 。 

安全 是 一 种 * 买 不 到 ?的 东西 。 打 开 包 装 箱 后 即 插 即 用 ,并 提供 足够 安全 水 平 的 安全 防 
护 体系 是 不 存在 的 。 因 此 ,许多 企业 虽然 安装 了 一 些 安全 产品 ,但 并 不 等 于 拥有 了 一 个 真正 
的 安全 体系 。 相 关 调查 数据 显示 ,超过 75% 的 信息 系统 泄密 和 恶意 攻击 事件 都 是 人 为 造成 
的 , 即 由 于 信息 安全 管理 的 缺 位 而 造成 的 。 而 技术 本 身 实际 上 只 是 信息 安全 体系 里 的 一 小 
部 分 。 不 管 一 项 技术 有 多 先进 ,都 只 不 过 是 辅助 实现 信息 安全 的 手段 而 已 。 大 部 分 的 信息 
安全 管理 专家 认为 技术 并 不 是 不 重要 ,但 在 信息 安全 的 架构 里 , 它 一 定 要 建立 在 好 的 信息 安 
全 管理 体系 的 基础 上 ,所 以 在 业界 中 一 向 有 三 分 技术 ,七 分 管理 的 说 法 。 

正 是 在 这 样 的 世界 大 环境 和 学 术 界 共 同 认 同 的 原则 下 ,各 国 的 研究 机 构 都 纷纷 研究 和 
制订 信息 安全 管理 `. 风 险 评估 、 信 息 安 全 技术 的 标准 。 而 英国 标准 化 协会 (BSID ,这 个 在 全 
世界 标准 界 负 有 盛名 的 机 构 ,在 成 功 地 制订 了 ISO 9000 ISO 14000、OHSAS 18000 等 国际 
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著名 的 标准 后 ,又 在 信息 安全 管理 领域 夺 得 头筹 , 它 制 订 的 BS 7799 信息 安全 管理 标准 再 一 
次 成 为 国际 上 最 具 权威 的 和 最 具 代表 性 的 标准 。 

早 在 1995 年 2 月 ,英国 标准 协会 (BST) 就 提出 制订 信息 安全 管理 标准 ,并 迅速 于 1995 
年 5 月 制订 完成 ,并 且 于 1999 年 重新 修改 了 该 标准 。BS 7799 分 为 两 个 部 分 :《 信 息 安全 管 
理 实施 规则 》(BS 7799-Part 1) 和 《信息 安全 管理 体系 规范 》(BS 7799-Part 2)。《 信 息 安全 管 
理 实施 规则 》 于 2000 年 12 月 通过 ISO/IECJTC1( 国 际 标准 化 组 织 和 国际 电工 委员 会 的 联 
合 技术 委员 会 ) 认 可 ,正式 成 为 国际 标准 , 即 ISO/IEC 17799:2000《 信 息 技术 -信息 安全 管理 
实施 细则 》。 这 是 通过 ISO 表决 最 快 的 一 个 标准 ,足见 世界 各 国 对 该 标准 的 关注 和 接受 程 
度 。2002 年 9 月 5 日 ,英国 标准 化 协会 又 发 布 了 新 版 本 BS 7799-Part 2。 


7.4.2 BS 7799-Part 1 与 BS 7799-Part 2 的 关系 


《信息 安全 管理 实施 细则 》(BS 7799-Part 1) 是 企业 建立 并 实施 信息 安全 管理 体系 的 一 
个 指导 性 的 准则 ,主要 为 企业 制订 其 信息 安全 策略 和 进行 有 效 的 信息 安全 控制 提供 了 一 个 
大 众 化 的 最 佳 范例 .《 信 息 安全 管理 体系 规范 》(BS 7799-Part 2) 规 定 了 建立 、 实 施 和 文件 化 
信息 安全 管理 体系 (ISMS) 的 要 求 ,规定 了 根据 独立 企业 的 需要 应 实施 安全 控制 的 要 求 。 正 
如 该 标准 的 适用 范围 介绍 的 一 样 , 本 标准 适用 以 下 场合 : 企业 按照 本 标准 要 求 建立 并 实施 
信息 安全 管理 体系 ,进行 有 效 的 信息 安全 风险 管理 ,确保 商务 可 持续 性 发 展 ; 作为 寻求 信息 
安全 管理 体系 第 三 方 认证 的 标准 。BS 7799-Part 2 明确 提出 信息 安全 管理 要 求 ,BS 7799- 
Part 1 则 对 应 给 出 了 通用 的 控制 方法 (措施 ) ,因此 ,BS 7799-Part 2 才 是 认证 的 依据 。 严 格 
地 说 ,企业 获得 的 认证 是 获得 了 BS 7799-Part 2 的 认证 ,BS 7799-Part 1 为 BS 7799-Part 2 
的 具体 实施 提供 了 指南 ,但 标准 中 的 控制 目标 、 控 制 方式 的 要 求 并 非 信 息 安全 管理 的 全 部 ， 
企业 可 以 根据 需要 考虑 另外 的 控制 目标 和 控制 方式 。 


7.4.3 《信息 安全 管理 实施 细则 》(BS 7799-Part 1) 的 主要 内 容 


BS 7799-Part 1 标准 在 正文 中 “对 什么 是 信息 安全 、 为 什么 需要 信息 安全 、 如 何 确 定安 
全 需要 ,评估 安全 风险 、 选 择 控 制 措施 、 信 息 安全 起 点 、 关 键 的 成 功 因 素 ,制定 自己 的 准则 ”等 
内 容 作 了 说 明 。 

在 BS 7799-Part 1 标准 中 指出 ,信息 安全 (Information security) 是 指 信息 的 保密 性 
(Confidentiality) 、 完 整 性 (Integrity) 和 可 用 性 (Availability) 的 保持 。 保 密 性 定义 为 保障 信 
息 仅 仅 为 那些 被 授权 使 用 的 人 获取 。 完 整 性 定义 为 保护 信息 及 其 处 理 方法 的 准确 性 和 完整 
性 。 可 用 性 定义 为 保障 授权 使 用 人 在 需要 时 可 以 获取 信息 和 使 用 相关 的 资产 。 

标准 在 解释 “为 什么 需要 信息 安全 ”时 指出 ,信息 、 信 息 处 理 过 程 及 对 信息 起 支持 作用 的 
信息 系统 和 信息 网 络 都 是 重要 的 商务 资产 。 信 息 的 保密 性 、 完 整 性 和 可 用 性 对 保持 竞争 优 
势 .资金 流动 ,效益 ,法律 符合 性 和 商业 形象 都 是 至 关 重 要 的 。 然 而 , 越 来 越 多 的 企业 的 信息 
系统 和 网 络 面临 着 包括 计算 机 诈骗 间谍、 蓄意 破坏 、 火 灾 、 水 灾 等 大 范围 的 安全 威胁 ,诸如 
计算 机 病毒 .计算 机 入 侵 、DOS 攻击 等 手段 造成 的 信息 灾难 已 变 得 更 加 普遍 ,有 计划 而 不 易 
被 察觉 。 企 业 对 信息 系统 和 信息 服务 的 依赖 意味 着 更 易 受 到 安全 威胁 的 破坏 ,公共 和 私人 
网 络 的 互 连 及 信息 资源 的 共享 增 大 了 实现 访问 控制 的 难度 。 许 多 信息 系统 本 身 就 不 是 按照 
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安全 系统 的 要 求 来 设计 的 ,所 以 仅 依靠 技术 手段 来 实现 信息 安全 有 其 局 限 性 ,所 以 信息 安全 
的 实现 必须 得 到 管理 和 程序 控制 的 适当 支持 。 

该 标准 的 正文 规定 了 127 个 安全 控制 措施 ,来 帮助 企业 识别 在 运作 过 程 中 对 信息 安全 
有 影响 的 元 素 ,企业 可 以 根据 适用 的 法 律 法 规 和 章程 加 以 选择 和 使 用 ,或 者 增加 其 他 附加 控 
制 。 如 图 7-11 所 示 ,信息 安全 管理 系统 的 127 个 安全 控制 措施 被 分 成 11 个 方面 ,构成 企业 
实施 的 信息 安全 管理 系统 的 结构 。 


资产 分 类 
业务 持续 性 人 力 资源 
管理 信息 资产 安全 


完整 性 | | 保密 性 可 用 性 | 


物理 与 环境 
安全 


通信 与 
操作 管理 


系统 开发 


图 7-11 信息 安全 管理 系统 的 结构 


1. 安全 方针 
制定 信息 安全 方针 ,为 信息 安全 提供 管理 指导 和 支持 。 
2. 组 织 安全 


建立 信息 安全 基础 设施 ,来 管理 组 织 范围 内 的 信息 安全 ; 维持 被 第 三 方 所 访问 的 组 织 
的 信息 处 理 设施 和 信息 资产 的 安全 ,以 及 当 信 息 处 理 外 包 给 其 他 组 织 时 ,维护 信息 的 安全 。 


3. 资产 的 分 类 与 控制 


核查 所 有 信息 资产 ,以 维护 组 织 资产 的 适当 保护 ,并 做 好 信息 分 类 ,确保 信息 资产 受到 
适当 程度 的 保护 。 


4. 人 力 资源 安全 


注意 工作 职责 定义 和 人 力 资源 中 的 安全 ,以 减少 人 为 差错 、 盗 穷 、 欺 诈 或 误 用 设施 的 风 
险 ; 做 好 用 户 培训 ,确保 用 户 知道 信息 安全 威胁 和 事务 ,并 准备 好 在 其 正常 工作 过 程 中 支持 
组 织 的 安全 政策 ; 制定 对 安全 事故 和 故障 的 响应 流程 使 安全 事故 和 故障 的 损害 减 到 最 小 ， 
并 监视 事故 和 从 事故 中 学 习 。 
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5. 物理 和 环境 的 安全 


定义 安全 区 域 ,以 避免 对 业务 办 公 场 所 和 信息 的 未 授权 访问 ,损坏 和 干扰 ; 保护 设备 的 
安全 ,防止 信息 资产 的 丢失 、 损 坏 或 泄露 和 业务 活动 的 中 断 ; 同时 还 要 做 好 一 般 控制 ,以 防 
止 信息 和 信息 处 理 设施 的 泄露 或 盗窃 。 


6. 通信 和 操作 管理 


制定 操作 规程 和 职责 ,确保 信息 处 理 设施 的 正确 和 安全 操作 ; 建立 系统 规划 和 验收 准 
则 ,将 系统 故障 的 风险 减低 到 最 小 ; 防范 恶意 软件 ,保护 软件 和 信息 的 完整 性 ; 建立 内 务 规 
程 ,以 维护 信息 处 理 和 通信 服务 的 完整 性 和 可 用 性 ; 确保 信息 在 网 络 中 的 安全 ,以 及 保护 其 
支持 基础 设施 ; 建立 媒体 处 置 和 安全 的 规程 ,防止 资产 损坏 和 业务 活动 的 中 断 ; 防止 信息 
和 软件 在 组 织 之 间 交 换 时 丢失 、 修 改 或 误 用 。 


7. 访问 控制 


制定 访问 控制 的 业务 要 求 ,以 控制 对 信息 的 访问 ; 建立 全 面 的 用 户 访问 管理 ,避免 信息 
系统 的 未 授权 访问 ; 让 用 户 了 解 他 对 维护 有 效 访问 控制 的 职责 ,防止 未 授权 用 户 的 访问 ， 
对 网 络 访问 加 以 控制 ,保护 网 络 服务 ; 建立 操作 系统 级 的 访问 控制 ,防止 对 计算 机 的 未 授权 
访问 ; 建立 应 用 访问 控制 ,防止 未 授权 用 户 访问 保存 在 信息 系统 中 的 信息 ; 监视 系统 访问 
和 使 用 ,检测 未 授权 的 活动 ; 当 使 用 移动 计算 和 远程 工作 时 ,也 要 确保 信息 安全 。 


8. 信息 安全 事故 管理 


报告 信息 安全 事件 ; 报告 信息 安全 弱点 ; 确保 与 信息 系统 有 关 的 安全 事件 和 弱点 的 沟 
通 能 够 及 时 采取 纠正 措施 。 收 集 证 据 , 从 信息 安全 事故 中 学 习 , 确 保 使 用 持续 有 效 的 方法 管 
理 信息 安全 事故 。 


9. 系统 开发 和 维护 


标识 系统 的 安全 要 求 ,确保 安全 被 构建 在 信息 系统 内 ; 控制 应 用 系统 的 安全 ,防止 应 用 
系统 中 用 户 数据 的 丢失 、 被 修改 或 误 用 ; 使 用 密码 控制 ,保护 信息 的 保密 性 、 真 实 性 或 完整 
性 ; 控制 对 系统 文件 的 访问 ,确保 按 安全 方式 进行 IT 项 目 和 支持 活动 ; 严格 控制 开发 和 支 
持 过 程 ,维护 应 用 系统 软件 和 信息 的 安全 。 


10. 业务 持续 性 管理 


业务 持续 性 管理 的 目的 是 为 了 减少 业务 活动 的 中 断 ,使 关键 业务 过 程 免 受 主要 故障 或 
天 灾 的 影响 。 

11. 符合 性 

信息 系统 的 设计 、 操 作 、 使 用 和 管理 要 符合 法 律 要 求 , 避 免 任何 犯罪 违反 法 律 、 违 背 法 
规 ,规章 或 合约 义务 以 及 任何 安全 要 求 ; 定期 审查 安全 政策 和 技术 符合 性 ,确保 系统 符合 企 
业 安 全 政策 和 标准 ; 还 要 控制 系统 审核 ,使 系统 审核 过 程 的 效力 最 大 化 ,干扰 最 小 化 。 
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7.4.4 《信息 安全 管理 体系 规范 》(BS 7799-Part 2) 的 主要 内 容 


BS 7799-Part 2 标准 详细 说 明了 建立 、 实 施 和 维护 信息 安全 管理 系统 (ISMS) 的 要 求 ， 
指出 实施 的 企业 或 组 织 ( 注 : 以 下 均 统称 为 企业 ) 需 要 进行 信息 安全 风险 评估 来 鉴定 信息 系 
统 的 安全 性 能 ,并 对 自己 的 需求 采取 适当 的 控制 措施 。 这 一 部 分 提出 了 企业 建立 信息 安全 
管理 体系 的 步骤 ,如 图 7-12 所 示 。 


定义 信息 安全 策略 


定义 信息 安全 系统 的 范围 
1 
进行 信息 安全 风险 评估 
1 
信息 安全 风险 管理 
1 
确定 管制 目标 和 选择 管制 措施 


准备 信息 安全 适用 性 声明 


图 7-12 建立 信息 安全 管理 体系 的 步骤 


1. 定义 信息 安全 策略 


信息 安全 策略 是 企业 信息 安全 的 最 高 方针 ,需要 根据 企业 内 各 个 部 门 的 实际 情况 ,分 别 
制订 不 同 的 信息 安全 策略 。 例 如 ,规模 较 小 的 企业 可 能 只 有 一 个 信息 安全 策略 ,并 适用 于 企 
业内 所 有 部 门 、 员 工 ; 而 规模 较 大 的 集团 企业 则 需要 制订 一 个 信息 安全 策略 文件 ,分 别 适用 
于 不 同 的 子 公司 或 各 分 支 机 构 。 信 息 安全 策略 应 该 简单 明了 、 通 俗 易 懂 ,并 形成 书面 文件 ， 
发 给 企业 内 的 所 有 成 员 。 同 时 要 对 所 有 相关 员工 进行 信息 安全 策略 的 培训 ,对 信息 安全 负 
有 特殊 责任 的 人 员 要 进行 特殊 的 培训 ,以 使 信息 安全 方针 真正 植 根 于 企业 内 所 有 员工 的 脑 
海 ,并 且 落 实 到 实际 工作 中 。 


2. 定义 ISMS 的 范围 


ISMS 的 范围 确定 需要 重点 进行 信息 安全 管理 的 领域 ,企业 需要 根据 自己 的 实际 情况 ， 
在 整个 企业 范围 内 ,或 者 在 个 别 部 门 或 领域 构架 ISMS。 在 本 阶段 ,应 将 组 织 划 分 成 不 同 的 
信息 安全 控制 领域 ,以 易于 企业 对 有 不 同 需求 的 领域 进行 适当 的 信息 安全 管理 。 


3. 进行 信息 安全 风险 评估 


信息 安全 风险 评估 的 复杂 程度 将 取决 于 风险 的 复杂 程度 和 受 保护 资产 的 敏感 程度 ,所 
采用 的 评估 措施 应 该 与 企业 对 信息 资产 风险 的 保护 需求 相 一致 。 风 险 评估 主要 对 ISMS 范 
围 内 的 信息 资产 进行 鉴定 和 估价 ,然后 对 信息 资产 面 对 的 各 种 威胁 和 脆弱 性 进行 评估 ,同时 
对 已 存在 的 或 规划 的 安全 管制 措施 进行 鉴定 。 风 险 评估 主要 依赖 于 商业 信息 和 系统 的 性 
质 、 使 用 信息 的 商业 目的 、 所 采用 的 系统 环境 等 因素 ,企业 在 进行 信息 资产 风险 评估 时 ,需要 
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将 直接 后 果 和 潜在 后 果 一 并 考虑 。 
4. 信息 安全 风险 管理 


根据 风险 评估 的 结果 进行 相应 的 风险 管理 。 信 息 安 全 风险 管理 主要 包括 以 下 几 种 
措施 。 
(1) 降低 风险 : 在 考虑 转嫁 风险 前 ,应 首先 考虑 采取 措施 降低 风险 。 

(2) 避免 风险 : 有 些 风险 很 容易 避免 ,例如 通过 采用 不 同 的 技术 、 更 改 操作 流程 、 采 用 
简单 的 技术 措施 等 。 

(3) 转嫁 风险 : 通常 只 有 当 风 险 不 能 被 降低 或 避免 且 被 第 三 方 (被 转嫁 方 ) 接 受 时 才 被 
采用 。 一 般 用 于 那些 低 概率 、 但 一 旦 风险 发 生 时 会 对 企业 产生 重大 影响 的 风险 。 

(4) 接受 风险 : 用 于 那些 在 采取 了 降低 风险 和 避免 风险 措施 后 ,出 于 实际 和 经 济 方面 
的 原因 ,只 要 企业 进行 运营 ,就 必然 存在 必须 接受 的 风险 。 


5. 确定 管制 目标 和 选择 管制 措施 


管制 目标 的 确定 和 管制 措施 的 选择 原则 是 费用 不 超过 风险 所 造成 的 损失 。 由 于 信息 安 
全 是 一 个 动态 的 系统 工程 ,企业 应 实时 对 选择 的 管制 目标 和 管制 措施 加 以 校 验 和 调整 ,以 适 
应 变化 了 的 情况 ,使 企业 的 信息 资产 得 到 有 效 、 经 济 、 合 理 的 保护 。 


6. 准备 信息 安全 适用 性 声明 


信息 安全 适用 性 声明 记录 了 企业 内 相关 的 风险 管制 目标 和 针对 每 种 风险 所 采取 的 各 种 
控制 措施 。 信 息 安全 适用 性 声明 的 准备 ,一 方面 是 为 了 向 企业 内 的 员工 声明 对 信息 安全 面 
对 的 风险 的 态度 ,在 更 大 程度 上 则 是 为 了 向 外 界 表明 企业 的 态度 和 作为 ,以 表明 企业 已 经 全 
面 、 系 统 地 审视 了 企业 的 信息 安全 系统 ,并 将 所 有 有 必要 管制 的 风险 控制 在 能 够 被 接受 的 范 
围 内 。 


7.4.5 PDCA 过 程 模式 


信息 安全 管理 体系 的 基础 是 PDCA 过 程 模式 的 应 用 ,而 PDCA 过 程 模式 的 理论 基础 是 
戴 明 环 ,包括 计划 (Plan) 实施 (Do) ,检查 (Check) 和 改进 (Action)4 个 步骤 。 

(1) 计划 (Plan) : 根据 风险 评估 结果 法律 法 规 要 求 、 企 业 自 身 业 务 运作 需要 来 确定 控 
制 目标 与 控制 措施 。 

(2) 实施 (Do) : 实施 所 选 的 安全 控制 措施 。 

(3) 检查 CCheck) : 依据 策略 ,程序 标准 和 法 律 法 规 ,对 安全 措施 的 实施 情况 进行 符合 
性 检查 。 

(4) 改进 (Action) : 根据 ISMS 审核 ,管理 评审 的 结果 及 其 他 相关 信息 ,采取 纠正 和 预 
防 措施 ,实现 ISMS 的 持续 改进 。 

这 四 个 步骤 组 成 一 个 闭合 的 戴 明 环 ,通过 这 个 环 的 不 断 运 转 , 使 信息 安全 管理 体系 得 到 
持续 改进 ,使 信息 安全 绩效 (performance) 螺 旋 上 升 。 戴 明 环 的 结构 如 图 7-13 所 示 。 
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计划 (Plan) 实施 (Do) 
“ 定义 ISMS 的 范围 ”规划 风险 处 理 计 划 
“ 定义 一 个 ISMS 策 略 ”实施 风险 处 理 计划 
“ 定义 风险 评估 方法 ”实施 控制 
“ 识别 风险 一 一 一 NN ”实施 培训 及 教育 计划 
“评估 风险 [管理 资源 
“ 识别 并 估计 风险 处 理 能 力 ”管理 操作 
“ 选择 控制 目标 和 控制 方法 ”实施 安全 事件 的 检测 和 响应 
准备 一 个 适用 的 声明 程序 

”执行 监控 程序 
要 ”定期 评价 ISMS 的 有 效 性 
“ 实施 已 确定 的 改进 措施 ， 评 i 妆 丰 风险 扒 
. 采取 正确 和 预防 性 行动 人 
“应 学 到 的 教 计 
应 用 已 学 到 的 教训 Ke ep 
“与 兴趣 小 组 交流 结果 i 
确保 改进 措施 达到 目的 ISMS 的 定期 管理 审查 
可 ”记录 对 ISMS 有 影响 的 动作 和 
事件 
措施 (Action) 检查 (Check) 


图 7-13 戴 明 环 


1. 计划 P 一 一 建立 信息 安全 管理 体系 环境 和 风险 评估 体系 


要 启动 PDCA 循环 ,必须 有 “启动 器 ”, 如 提供 必需 的 资源 、 选 择 风险 管理 方法 ,确定 评 
审 方 法 文件 化 实践 。 设 计 计划 阶段 就 是 为 了 确保 正确 建立 信息 安全 管理 体系 的 范围 和 详 
略 程度 ,识别 并 评估 所 有 的 信息 安全 风险 ,为 这 些 风 险 制 订 适当 的 处 理 计划 。 计 划 阶 段 的 所 
有 重要 活动 都 要 被 文件 化 ,以 备 将 来 追溯 和 控制 更 改 情况 。 

1) 确定 范围 和 方针 

信息 安全 管理 体系 可 以 覆盖 企业 的 全 部 或 者 部 分 。 无 论 是 全 部 还 是 部 分 ,企业 都 必须 
明确 界定 体系 的 范围 ,如 果 体 系 仅 涵 盖 企 业 的 一 部 分 这 就 变 得 更 重要 了 。 企 业 需 要 文件 化 
信息 安全 管理 体系 的 范围 ,信息 安全 管理 体系 范围 文件 应 该 涵盖 包括 确立 信息 安全 管理 体 
系 范围 和 体系 环境 所 需 的 过 程 ; 战略 性 和 组 织 化 的 信息 安全 管理 环境 ; 企业 的 信息 安全 风 
险 管理 方法 ; 信息 安全 风险 评价 标准 以 及 所 要 求 的 保证 程度 ; 信息 资产 识别 的 范围 等 儿 个 
方面 。 

信息 安全 管理 体系 也 可 能 在 其 他 信息 安全 管理 体系 的 控制 范围 内 。 在 这 种 情况 下 ,上 
下 级 控制 的 关系 有 下 列 两 种 可 能 : 

(1) 下 级 信息 安全 管理 体系 不 使 用 上 级 信息 安全 管理 体系 的 控制 。 在 这 种 情况 下 ,上 
级 信息 安全 管理 体系 的 控制 不 影响 下 级 信息 安全 管理 体系 的 PDCA 活动 。 

(2) 下 级 信息 安全 管理 体系 使 用 上 级 信息 安全 管理 体系 的 控制 。 在 这 种 情况 下 ,上 级 
信息 安全 管理 体系 的 控制 可 以 被 认为 是 下 级 信息 安全 管理 体系 策划 活动 的 “外 部 控制 ”。 尽 
管 此 类 外 部 控制 并 不 影响 下 级 信息 安全 管理 体系 的 实施 、 检 查 、 措 施 活动 ,但 是 下 级 信息 安 
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全 管理 体系 仍然 有 责任 确认 这 些 外 部 控制 提供 了 充分 的 保护 。 

安全 方针 是 关于 在 一 个 组 织 内 .指导 如 何 对 信息 资产 进行 管理 ,保护 和 分 配 的 规则 和 指 
示 , 是 企业 信息 安全 管理 体系 的 基本 法 规 。 企 业 的 信息 安全 方针 ,描述 信息 安全 在 企业 内 的 
重要 性 ,表明 管理 层 的 承诺 ,提出 企业 管理 信息 安全 的 方法 ,为 企业 的 信息 安全 管理 提供 方 
向 和 支持 。 

2) 定义 风险 评估 的 系统 性 方法 

确定 信息 安全 风险 评估 方法 ,并 确定 风险 等 级 准则 。 评 估 方 法 应 该 和 企业 既定 的 信息 
安全 管理 体系 范围 .信息 安全 需求 ,法律 法 规 要 求 相 适应 ,兼顾 效果 和 效率 。 企 业 需 要 建立 
风险 评估 文件 ,解释 所 选择 的 风险 评估 方法 、 说 明 为 什么 该 方法 适合 企业 的 安全 要 求 和 业务 
环境 ,介绍 所 采用 的 技术 和 工具 ,以 及 使 用 这 些 技术 和 工具 的 原因 。 评 估 文 件 还 应 该 规范 下 
列 评估 细节 

(1) 信息 安全 管理 体系 内 资产 的 估价 ,包括 所 用 的 价值 尺度 信息 ; 

(2) 威胁 及 薄弱 点 的 识别 ; 

(3) 可 能 利用 薄弱 点 的 威胁 的 评估 ,以 及 此 类 事故 可 能 造成 的 影响 ; 

(4) 以 风险 评估 结果 为 基础 的 风险 计算 ,以 及 剩余 风险 的 识别 。 

3) 识别 风险 

识别 信息 安全 管理 体系 控制 范围 内 的 信息 资产 ; 识别 对 这 些 资产 的 威胁 ; 识别 可 能 被 
威胁 利用 的 薄弱 点 ; 识别 保密 性 、 完 整 性 和 可 用 性 丢失 对 这 些 资产 的 潜在 影响 。 

4) 评估 风险 

根据 资产 保密 性 、 完 整 性 或 可 用 性 丢失 的 潜在 影响 ,评估 由 于 安全 失败 (failure) 可 能 引 
起 的 商业 影响 ; 根据 与 资产 相关 的 主要 威胁 、 薄 弱点 及 其 影响 ,以 及 目前 实施 的 控制 ,评估 
此 类 失败 发 生 的 现实 可 能 性 ; 根据 既定 的 风险 等 级 准则 ,确定 风险 等 级 。 

5) 识别 并 评价 风险 处 理 的 方法 

对 于 所 识别 的 信息 安全 风险 ,企业 需要 加 以 分 析 , 区 别 对 待 。 如 果 风 险 满足 企业 的 风险 
接受 方针 和 准则 ,那么 就 有 意 的 、 客 观 的 接受 风险 ; 对 于 不 可 接受 的 风险 企业 可 以 考虑 避免 
风险 或 者 将 风险 转移 ; 对 于 不 可 避免 也 不 可 转移 的 风险 应 该 采取 适当 的 安全 控制 措施 ,将 
其 降低 到 可 接受 的 水 平 。 

6) 为 风险 的 处 理 选择 控制 目标 与 控制 方式 

选择 并 文件 化 控制 目标 和 控制 方式 ,以 将 风险 降低 到 可 接受 的 等 级 。BS 7799-2:2002 
附录 A 提供 了 可 供 选择 的 控制 目标 与 控制 方式 。 不 可 能 总 是 以 可 接受 的 费用 将 风险 降低 
到 可 接受 的 等 级 ,那么 需要 确定 是 增加 额外 的 控制 ,还 是 接受 高 风险 。 在 设 定 可 接受 的 风险 
等 级 时 ,控制 的 强度 和 费用 应 该 与 事故 的 潜在 费用 相 比 较 。 这 个 阶段 还 应 该 策划 安全 破坏 
或 者 违背 的 探测 机 制 ,进而 安排 预防 制止 .限制 和 恢复 控制 。 在 形式 上 ,企业 可 以 通过 设计 
风险 处 理 计划 来 完成 步骤 5) 和 6)。 风 险 处 理 计划 是 企业 针对 所 识别 的 每 一 项 不 可 接受 风 
险 建 立 的 详细 处 理 方案 和 实施 时 间 表 ,是 企业 安全 风险 和 控制 措施 的 接口 性 文档 。 风 险 处 
理 计划 不 仅 可 以 指导 后 续 的 信息 安全 管理 活动 ,还 可 以 作为 与 高 层 管理 者 、 上 级 领导 机 构 、 
合作 伙伴 或 者 员工 进行 信息 安全 事宜 沟通 的 桥梁 。 这 个 计划 至 少 应 该 为 每 一 个 信息 安全 风 
险 阐明 以 下 内 容 : 企业 所 选择 的 处 理 方法 ; 已 经 到 位 的 控制 ; 建议 采取 的 额外 措施 ; 建议 
控制 的 实施 时 间 框 架 。 
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7) 获得 最 高 管理 者 的 授权 批准 
剩余 风险 (residual risks) 的 建议 应 该 获得 批准 ,开始 实施 和 运作 信息 安全 管理 体系 需 
要 获得 最 高 管理 者 的 授权 。 


2. 实施 D 一 一 实施 并 运行 


PDCA 循环 中 这 个 阶段 的 任务 是 以 适当 的 优先 权 进 行 管理 运作 ,执行 所 选择 的 控制 ,以 
管理 策划 阶段 所 识别 的 信息 安全 风险 。 对 于 那些 被 评估 认为 是 可 接受 的 风险 ,不 需要 采取 
进一步 的 措施 。 对 于 不 可 接受 风险 ,需要 实施 所 选择 的 控制 ,这 应 该 与 策划 活动 中 准备 的 风 
险 处 理 计划 同步 进行 。 计 划 的 成 功 实施 需要 有 一 个 有 效 的 管理 系统 ,其 中 要 规定 所 选择 方 
法 、 分 配 职责 和 职责 分 离 , 并 且 要 依据 规定 的 方式 方法 监控 这 些 活动 。 

在 不 可 接受 的 风险 被 降低 或 转移 之 后 ,还 会 有 一 部 分 剩余 风险 。 应 对 这 部 分 风险 进行 
控制 ,确保 不 期 望 的 影响 和 破坏 被 快速 识别 并 得 到 适当 管理 。 本 阶段 还 需要 分 配 适当 的 资 
源 ( 人 员 、 时 间 和 资金 ) 运 行 信息 安全 管理 体系 以 及 所 有 的 安全 控制 。 这 包括 将 所 有 已 实施 
控制 的 文件 化 ,以 及 信息 安全 管理 体系 文件 的 积极 维护 。 

提高 信息 安全 意识 的 目的 就 是 产生 适当 的 风险 和 安全 文化 ,保证 意识 和 控制 活动 的 同 
步 , 还 必须 安排 针对 信息 安全 意识 的 培训 ,并 检查 意识 培训 的 效果 ,以 确保 其 持续 有 效 和 实 
时 性 。 如 有 必要 应 对 相关 方 事实 有 针对 性 的 安全 培训 ,以 支持 组 织 的 意识 程序 ,保证 所 有 相 
关 方 能 按照 要 求 完成 安全 任务 。 本 阶段 还 应 该 实施 并 保持 策划 了 的 探测 和 响应 机 制 。 


3. 检查 C 一 一 监视 并 评审 


1) 检查 阶段 

检查 阶段 又 叫 学 习 阶段 ,是 PDCA 循环 的 关键 阶段 ,是 信息 安全 管理 体系 要 分 析 运 行 
效果 ,寻求 改进 机 会 的 阶段 。 如 果 发 现 一 个 控制 措施 不 合理 .不 充分 ,就 要 采取 纠正 措施 ,以 
防止 信息 系统 处 于 不 可 接受 风险 状态 。 企 业 应 该 通过 多 种 方式 检查 信息 安全 管理 体系 是 否 
运行 良好 ,并 对 其 业绩 进行 监视 ,可 能 包括 下 列 管理 过 程 : 

(1) 执行 程序 和 其 他 控制 以 快速 检测 处 理 结果 中 的 错误 ; 快速 识别 安全 体系 中 失败 的 
和 成 功 的 破坏 活动 ; 能 使 管理 者 确认 人 工 或 自动 执行 的 安全 活动 达到 预期 的 结果 ; 按照 商 
业 优先 权 确定 解决 安全 破坏 所 要 采取 的 措施 ; 接受 其 他 企业 和 企业 自身 的 安全 经 验 。 

(2) 常规 评审 信息 安全 管理 体系 的 有 效 性 ; 收集 安全 审核 的 结果 、 事 故 以 及 来 自 所 有 
股东 和 其 他 相关 方 的 建议 和 反馈 ,定期 对 信息 安全 管理 体系 有 效 性 进行 评审 。 

(3) 评审 剩余 风险 和 可 接受 风险 的 等 级 ; 注意 企业 、 技 术 、 商 业 目 标 和 过 程 的 内 部 变 
化 ,以 及 已 识别 的 威胁 和 社会 风尚 的 外 部 变化 ,定期 评审 剩余 风险 和 可 接受 风险 等 级 的 合 
理性 。 

(4) 审核 是 执行 管理 程序 、 以 确定 规定 的 安全 程序 是 否 适当 、 是 否 符合 标准 以 及 是 否 按 
照 预期 的 目的 进行 工作 。 审 核 的 就 是 按照 规定 的 周期 (最 多 不 超过 一 年 ) 检 查 信息 安全 管理 
体系 的 所 有 方面 是 否 行 之 有 效 。 审 核 的 依据 包括 BS 7799-2:2002 标准 和 企业 所 发 布 的 信 
息 安全 管理 程序 。 应 该 进行 充分 的 审核 策划 ,以 便 审核 任务 能 在 审核 期 间 内 按部就班 的 
展开 。 
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2) 评审 阶段 

评审 阶段 的 主要 审核 以 下 几 项 内 容 : 

(1) 信息 安全 方针 仍然 是 业务 要 求 的 正确 反映 。 

(2) 正在 遵循 文件 化 的 程序 (信息 安全 管理 体系 范围 内 ) ,并 且 能 够 满足 其 期 望 的 目标 。 

(3) 有 适当 的 技术 控制 (例如 防火 墙 、 实 物 访问 控制 ) ,被 正确 的 配置 , 且 行 之 有 效 。 

(4) 剩余 风险 已 被 正确 评估 ,并且 是 企业 管理 可 以 接受 的 。 

(5) 前 期 审核 和 评审 所 认同 的 措施 已 经 被 实施 。 

(6) 审核 会 包括 对 文件 和 记录 的 抽样 检查 ,以 及 口头 审核 管理 者 和 员工 。 

(7) 正式 评审 : 为 确保 范围 保持 充分 性 ,以 及 信息 安全 管理 体系 过 程 的 持续 改进 得 到 
识别 和 实施 ,企业 应 定期 对 信息 安全 管理 体系 进行 正式 的 评审 (最 少 一 年 评审 一 次 )。 记 录 
并 报告 能 影响 信息 安全 管理 体系 有 效 性 或 业绩 的 所 有 活动 和 事件 。 


4. 改进 A 


措施 及 改进 


经 过 了 策划 实施、 检查 之 后 ,企业 在 改进 阶段 必须 对 所 策划 的 方案 给 以 结论 ,是 应 该 继 
续 执行 ,还 是 应 该 放弃 重新 进行 新 的 策划 。 当 然 该 循环 给 管理 体系 带 来 明显 的 业绩 提升 , 企 
业 可 以 考虑 是 否 将 成 果 扩 大 到 其 他 的 部 门 或 领域 ,这 就 开始 了 新 一 轮 的 PDCA 循环 。 在 这 
个 过 程 中 企业 可 能 持续 进行 以 下 操作 : 

(1) 测量 信息 安全 管理 体系 满足 安全 方针 和 目标 方面 的 业绩 。 

(2) 识别 信息 安全 管理 体系 的 改进 ,并 有 效 实施 。 

(3) 采取 适当 的 纠正 和 预防 措施 。 

(4) 沟通 结果 及 活动 ,并 与 所 有 相关 方 磋商 。 

(5) 必要 时 修订 信息 安全 管理 体系 。 

(6) 确保 修订 达到 预期 的 目标 。 

在 这 个 阶段 需要 注意 的 是 ,很 多 看 起 来 单纯 的 、 孤 立 的 事件 ,如 果 不 及 时 处 理 就 可 能 对 
整个 企业 产生 影响 ,所 采取 的 措施 不 仅 具 有 直接 的 效果 ,还 可 能 带 来 深远 的 影响 。 企 业 需 要 
把 措施 放 在 信息 安全 管理 体系 持续 改进 的 大 背景 下 ,以 长 远 的 眼光 来 打算 ,确保 措施 不 仅 致 
力 于 眼前 的 问题 ,还 要 杜绝 类 似 事故 再 发 生 或 者 降低 其 在 放生 的 可 能 性 。 

不 符合 纠正 措施 和 预防 措施 是 本 阶段 的 重要 概念 。 

不 符合 是 指 实施 、 维 持 并 改进 所 要 求 的 一 个 或 多 个 管理 体系 要 素 缺 乏 或 者 失效 ,或 者 是 
在 客观 证 据 基础 上 ,信息 安全 管理 体系 符合 安全 方针 以 及 达到 企业 安全 目标 的 能 力 存在 很 
大 不 确定 性 的 情况 。 

纠正 措施 是 企业 应 确定 措施 ,以 消除 信息 安全 管理 体系 实施 .运作 和 使 用 过 程 中 不 符合 
的 原因 ,防止 再 发 生 。 组 织 的 纠正 措施 的 文件 化 程序 应 该 规定 以 下 方面 的 要 求 ， 

@ 识别 信息 安全 管理 体系 实施 .运作 过 程 中 的 不 符合 。 

@ 确定 不 符合 的 原因 。 

@ 评价 确保 不 符合 不 再 发 生 的 措施 要 求 。 

@ 取 定 并 实施 所 需 的 纠正 措施 。 

@ 记录 所 采取 措施 的 结果 。 

@ 评审 所 采取 措施 的 有 效 性 。 
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预防 措施 是 企业 应 确定 措施 ,以 消除 潜在 不 符合 的 原因 ,防止 其 发 生 。 预 防 措施 应 与 潜 
在 问题 的 影响 程度 相 适 应 。 预 防 措施 的 文件 化 程序 应 该 规定 以 下 方面 的 要 求 : 

中 识别 潜在 不 符合 及 其 原因 。 

@ 确定 并 实施 所 需 的 预防 措施 。 

@ 记录 所 采取 措施 的 结果 。 

@ 评审 所 采取 的 预防 措施 。 

@ 识别 已 变化 的 风险 ,并 确保 对 发 生 重大 变化 的 风险 予以 关注 。 


7.4.6 中国 信息 安全 管理 标准 


中 国政 府 主管 部 门 以 及 各 行 各 业已 经 认识 到 了 信息 安全 的 重要 性 。 政 府 部 门 出 台 了 一 
系列 的 相关 政策 ,直接 牵引 、 推 进 信息 安全 的 应 用 和 发 展 。 由 政府 主导 的 各 大 信息 系统 工程 
和 信息 化 程度 要 求 非常 高 的 相关 行业 ,也 开始 出 台 对 信息 安全 技术 产品 的 应 用 标准 和 规范 。 
国务 院 信息 化 工作 小 组 颁布 的 (关于 我 国电 子 政 务 建设 指导 意见 ) 也 强调 指出 了 电子 政务 建 
设 中 信息 系统 安全 的 重要 性 ; 中 国人 民 银 行 正在 加 紧 制 订 网 上 银行 系统 安全 性 评估 指引 ， 
并 明确 提出 对 信息 安全 的 投资 要 达到 IT 总 投资 的 10% 以 上 ,而 在 其 他 一 些 关键 行业 ,信息 
安全 的 投资 甚至 已 经 超过 了 总 IT 预算 的 30%~50%。 

2002 年 4 月 ,中 国 成 立 了 * 全 国信 息 安 全 标准 化 技术 委员 会 (TC260)”, 该 标 委 会 是 在 
信息 安全 的 专业 领域 内 ,从 事 信 息 安全 标准 化 工作 的 技术 工作 组 织 。 信 息 安全 标 委 会 设置 
了 10 个 工作 组 ,其 中 信息 安全 管理 ( 含 工 程 与 开发 ) 工 作 组 (WG7) 负 责 对 信息 安全 的 行政 、 
技术 、 人 员 等 管理 提出 规范 要 求 及 指导 指南 , 它 包 括 信息 安全 管理 指南 、 信 息 安全 管理 实施 
规范 、 人 员 培 训 教 育 及 录用 要 求 , 信 息 安全 社会 化 服务 管理 规范 、 信 息 安 全 保险 业务 规范 框 
架 和 安全 策略 要 求 与 指南 。 目 前 ,WG7 工作 组 正在 着 手 制订 推荐 性 国家 标准 (信息 技术 信 
息 安全 管理 实用 规则 》, 该 标准 的 采用 程度 为 等 同 采用 标准 ,也 就 是 说 该 标准 与 ISO/IEC 
17799 相同 ,除了 纠正 排版 或 印刷 错误 、 改 变 标点 符号 、 增 加 不 改变 技术 内 容 的 说 明和 指示 
之 外 不 改变 标准 技术 的 内 容 。 

BS 7799 提供 了 一 套 综合 的 、 由 信息 安全 最 佳 措 施 组 成 的 实施 规则 和 管理 要 求 , 它 广泛 

地 涵盖 了 几乎 所 有 的 安全 议题 ,非常 适合 于 作为 工商 业 及 大 、 中 小 组 织 的 信息 系统 在 大 多 
数 情况 下 所 需 的 控制 范围 确定 的 参考 基准 。 虽 然 我 国信 息 安 全 标准 委员 会 并 不 是 将 ISO/ 
IEC 17799 作为 强制 性 国家 标准 引入 ,而 是 仅仅 作为 推荐 性 国家 标准 推行 ,但 是 企业 和 组 织 
仍然 可 以 将 ISO/IEC 17799 作为 衡量 信息 安全 管理 体系 规范 程度 的 一 个 标准 和 指标 。 建 
立信 息 安 全 管理 体系 并 获得 经 认可 的 认证 机 构 的 认证 ,不 仅 能 提高 企业 自身 的 安全 管理 水 

平 , 将 企业 的 安全 风险 控制 在 可 接受 的 程度 , 减 小 信息 安全 遭 到 破坏 带 来 的 损失 ,保证 业务 
Pn 并 且 能 向 客户 及 利益 相关 方 展示 组 织 对 信息 安全 的 承诺 ,增强 投资 方 和 股 
票 持 有 者 的 投资 信息 ,向 政府 及 行业 主管 部 门 证 明 组 织 对 相关 法 律 法 规 的 符合 ,并 且 得 到 国 
际 上 的 承认 。 尤 其 对 于 银行 证券. 电子 商务 ,ISP 等 服务 提供 商 来 说 ,可 以 借 此 向 客户 展示 
其 服务 相 比 其 他 竞争 对 手 更 加 安全 、 可 靠 , 并 树立 和 增强 企业 的 信息 安全 角度 ,提高 企业 的 
综合 竞争 力 。 


313 


MY 


C3 物 联网 安全 风险 评估 


在 信息 安全 领域 ,对 信息 系统 进行 风险 评估 十 分 重要 ,其 最 终 目的 就 是 要 指导 决策 者 在 
“投资 成 本 ”和 “安全 级 别 " 这 两 者 之 间 找 到 平衡 ,从 而 为 等 级 化 的 资产 风险 制订 保护 策略 和 
缓和 计划 。 信 息 安全 风险 评估 方法 经 历 了 从 手工 评估 到 半自动 化 评估 的 阶段 ,目前 正在 由 
技术 评估 向 整体 评估 发 展 , 由 定性 评估 向 定性 和 定量 评估 相 结合 的 方法 发 展 ,由 基于 知识 的 
评估 向 基于 模型 的 评估 方法 发 展 。 


7.5.1 风险 的 概念 


风险 是 指 信 息 系统 遭受 损害 或 者 损失 的 可 能 性 ,是 实现 一 个 事件 不 想 要 的 负面 结果 的 

潜在 因素 。 早 在 1992 年 ,Ansell, J. 和 FF. Wharton 提出 了 以 下 的 风险 数学 表达 式 : 
风险 R= f(p,o) 

其 中 : p 为 事件 发 生 的 概率 ,c 为 事件 发 生 的 后 果 。 

风险 分 析 是 风险 评估 过 程 中 最 复杂 的 步 又, 要求 对 风险 的 识别 .估计 和 评价 做 出 全 面 
的 ,综合 的 分 析 。 一 个 全 面 的 风险 分 析 包 括 对 各 种 层次 的 风险 发 生 的 概率 和 影响 进行 评价 。 
风险 评估 重点 关注 风险 的 评估 和 量化 ,由 此 决定 风险 的 可 接受 级 别 。 

风险 管理 过 程 定 义 了 综合 的 策略 来 解决 风险 分 析 过 程 中 识别 出 来 的 风险 。Britton 等 
人 提出 了 三 种 基本 的 风险 解决 办 法 : 接受 风险 、 减 小 风险 和 转移 风险 。 

在 信息 安全 系统 中 ,威胁 .脆弱 点 .资产 和 影响 之 间 的 关系 如 图 7-14 所 示 。 


控制 措施 


图 7-14 威胁 、 脆 弱点 、 资 产 和 影响 之 间 的 关系 


7.5.2 常用 信息 安全 风险 评估 方法 


面 对 信 息 安全 问题 时 ,需要 从 企业 的 角度 去 评估 他 们 实际 上 需要 保护 什么 及 其 需求 的 
原因 。 大 多 数 安全 问题 深 深 地 根植 在 一 个 或 者 多 个 企业 和 业务 问题 中 。 在 实施 安全 方案 之 
前 ,应 当 通 过 在 业务 环境 中 评估 安全 需求 和 风险 ,刻画 出 基本 问题 的 真实 本 质 ,决定 需要 保 
护 哪些 对 象 ,为 什么 要 保护 这 些 对 象 ,需要 从 哪些 方面 进行 保护 ,如 何在 生存 期 内 进行 保护 。 
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下 面 将 从 不 同 的 角度 比较 现 有 的 信息 安全 风险 评估 方法 。 
1. 手工 评估 与 工具 辅助 评估 


在 各 种 信息 安全 风险 评估 工具 出 现 以 前 ,对 信息 系统 进行 安全 管理 ,一 切 工作 都 只 能 手 
工 进行 。 对 于 安全 风险 分 析 人 员 而 言 ,这 些 工 作 包 括 识别 重 要 资产 、 安 全 需求 分 析 、 当 前 安 
全 实践 分 析 、 威 胁 和 弱点 发 现 、 基 于 资产 的 风险 分 析 和 评估 等 。 对 于 安全 决策 者 而 言 ,这 些 
工作 包括 资产 估价 、 安 全 投资 成 本 以 及 风险 效益 之 间 的 平衡 决策 等 。 对 于 系统 管理 员 而 言 ， 
这 些 工 作 包 括 基 于 风险 评估 的 风险 管理 等 。 总 而 言 之 ,其 劳动 量 巨 大 ,容易 出 现 玖 漏 ,而 且 ， 
他 们 都 是 依据 各 自 的 经 验 ,进行 与 安全 风险 相关 的 工作 。 

风险 评估 工具 的 出 现在 一 定 程度 上 解决 了 手动 评估 的 局 限 性 。 

1985 年 ,英国 CCTA 公司 开发 了 CRAMM 风险 评估 工具 。CRAMM 包括 全 面 的 风险 
评估 工具 ,并 且 完 全 遵循 BS 7799 规范 ,包括 依靠 资产 的 建 模 、 商 业 影 响 评估 ,识别 和 评估 威 
胁 和 弱点 .评估 风险 等 级 识别 需求 和 基于 风险 评估 调整 控制 等 。CRAMM 评估 风险 依靠 
资产 价值 威胁 和 脆弱 点 ,这 些 参 数值 是 通过 CRAMM 评估 者 与 资产 所 有 者 、 系 统 使 用 者 、 
技术 支持 人 员 和 安全 部 门人 员 一 起 的 交互 活动 得 到 ,最 后 给 出 一 套 安全 解决 方案 。 

1991 年 ,C&A System Security 公司 推出 了 COBRA 工具 ,用 来 进行 信息 安全 风险 评 
估 。COBRA 由 一 系列 风险 分 析 、 咨 询 和 安全 评价 工具 组 成 , 它 改变 了 传统 的 风险 管理 方 
法 ,提供 了 一 个 完整 的 风险 分 析 服 务 ,并 且 兼 容许 多 风险 评估 方法 学 (如 定性 分 析 和 定量 分 
析 等 )。 它 可 以 看 作 一 个 基于 专家 系统 和 扩展 知识 库 的 问卷 系统 ,对 所 有 的 威胁 和 脆弱 点 评 
估 其 相对 重要 性 ,并 且 给 出 合适 的 建议 和 解决 方案 。 此 外 , 它 还 对 每 个 风险 类 别提 供 风险 分 
析 报 告 和 风险 值 ( 或 风险 等 级 ) 。 

信息 安全 风险 评估 工具 的 出 现 ,大 大 缩短 了 风险 评估 所 花费 的 时 间 。 在 系统 应 用 和 配 
置 不 断 改 变 的 情况 ,企业 可 以 通过 执行 另外 一 次 评估 重新 设置 风险 基线 。 两 次 评估 的 时 间 
间隔 可 以 预先 确定 (例如 ,以 月 为 单位 ) 或 者 由 主要 的 事件 触发 (例如 ,企业 重组 .企业 的 计算 
基础 结构 重新 设计 等 ) 。 


2. 技术 评估 和 整体 评估 


技术 评估 是 指 对 企业 的 技术 基础 结构 和 程序 进行 系统 的 、 及 时 的 检查 ,包括 对 企业 内 部 
计算 环境 的 安全 性 及 其 对 内 外 攻击 脆弱 性 的 完整 性 攻击 。 这 些 技术 驱动 的 评估 通常 包括 ， 

(1) 评估 整个 计算 基础 结 

(2) 使 用 拥有 的 软件 工具 分 析 基 础 结构 及 其 全 部 组 件 。 

(3) 提供 详细 的 分 析 报 告 ,说 明 检 测 到 的 技术 弱点 ,并 且 可 能 为 解决 这 些 弱 点 建议 具体 
的 措施 。 技 术 评估 是 通常 意义 上 所 讲 的 技术 脆弱 性 评估 ,强调 企业 的 技术 脆弱 性 。 但 是 企 
业 的 安全 性 遵循 “ 木 桶 原则 ”, 仅 仅 与 企业 内 最 薄弱 的 环节 相当 ,而 这 一 环节 多 半 是 企业 中 的 
某 个 人 。 

整体 风险 评估 扩展 了 上 述 技术 评估 的 范围 .着 眼 于 分 析 企 业内 部 与 安全 相关 的 风险 , 包 
括 内 部 和 外 部 的 风险 源 、 技 术 基 础 和 组 织 结 构 以 及 基于 电子 的 和 基于 人 的 风险 。 这 些 多 角 
度 的 评估 试图 按照 业务 驱动 程序 或 者 目标 对 安全 风险 进行 排列 ,关注 的 焦点 主要 集中 在 安 
全 的 4 个 方面 。 
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(1) 检查 与 安全 相关 的 企业 实践 ,标识 当前 安全 实践 的 优点 和 弱点 。 这 一 程序 可 能 包 
括 对 信息 进行 比较 分 析 , 根 据 工业 标准 和 最 佳 实践 对 信息 进行 等 级 评定 。 

(2) 包括 对 系统 进行 技术 分 析 、 对 政策 进行 评审 以 及 对 物理 安全 进行 审查 。 

(3) 检查 IT 的 基础 结构 ,以 确定 技术 上 的 弱点 。 包 括 恶 意 代 码 的 入 侵 、 数 据 的 破坏 或 
者 毁灭 信息 丢失 拒绝 服务 .访问 权限 和 特权 的 未 授权 变更 等 。 

(4) 帮助 决策 制订 者 综合 平衡 风险 以 选择 成 本 效益 对 策 。 

1999 年 , 卡 内 基 。 梅 隆 大 学 的 SEI 发 布 了 OCTAVE 框架 ,这 是 一 种 自主 型 信息 安全 
风险 评估 方法 。OCTAVE 方法 是 Alberts 和 Dorofee 共同 研究 的 成 果 , 这 是 一 种 从 系统 的 、 
企业 的 角度 开发 的 新 型 信息 安全 保护 方法 ,主要 针对 大 型 企业 ,中 小 型 企业 也 可 以 对 其 适当 
裁剪 ,以 满足 自身 需要 。 它 的 实施 分 为 三 个 阶段 : 

(1) 建立 基于 资产 的 威胁 配置 文件 (Threat Profile) 。 这 是 从 企业 的 角度 进行 的 评估 。 
企业 的 全 体 员工 阐述 他 们 的 看 法 ,如 什么 对 企业 重要 (与 信息 相关 的 资产 ) ,应 当 采 取 什 么 样 
的 措施 保护 这 些 资产 等 。 分 析 团 队 整 理 这 些 信息 ,确定 对 企业 最 重要 的 资产 (关键 资产 ) 并 
标识 对 这 些 资产 的 威胁 。 

(2) 标识 基础 结构 的 弱点 。 对 计算 基础 结构 进行 的 评估 。 分 析 团 队 标识 出 与 每 种 关键 
资产 相关 的 关键 信息 技术 系统 和 组 件 , 然 后 对 这 些 关键 组 件 进行 分 析 , 找 出 导致 对 关键 资产 
产生 未 授权 行为 的 弱点 (技术 弱点 ) 。 

(3) 开发 安全 策略 和 计划 。 分 析 团 队 标 识 出 企业 关键 资产 的 风险 ,并 确定 要 采取 的 措 
施 。 根 据 对 收集 到 的 信息 所 做 的 分 析 ,为 企业 开发 保护 策略 和 缓和 计划 ,以 解决 关键 资产 的 
风险 。 


3. 定性 评估 和 定量 评估 


定性 分 析 方 法 是 最 广泛 使 用 的 风险 分 析 方 法 。 该 方法 通常 只 关注 威胁 事件 所 带 来 的 损 
失 (Loss) ,而 忽略 事件 发 生 的 概率 (Probability)。 多 数 定性 风险 分 析 方法 依据 企业 面临 的 
威胁 、 脆 弱点 以 及 控制 措施 等 元 素来 决定 安全 风险 等 级 。 在 定性 评估 时 并 不 使 用 具体 的 数 
据 , 而 是 指定 期 望 值 ,如 设 定 每 种 风险 的 影响 值 和 概率 值 为 “高 "“ 中 ”“ 低 ”。 有 时 单纯 使 用 
期 望 值 ,并 不 能 明显 区 别 风险 值 之 间 的 差别 。 可 以 考虑 为 定性 数据 指定 数值 。 例 如 , 设 “ 高 ” 
的 值 为 3,“ 中 ”的 值 为 2,“ 低 ”的 值 为 1。 但 是 要 注意 的 是 ,这 里 考虑 的 只 是 风险 的 相对 等 
级 ,并 不 能 说 明 该 风险 到 底 有 多 大 。 所 以 ,不 要 赋予 相对 等 级 太 多 的 意义 ,否则 ,将 会 导致 错 
误 的 决策 。 

定量 分 析 方 法 利用 两 个 基本 的 元 素 : 威胁 事件 发 生 的 概率 和 可 能 造成 的 损失 。 把 这 两 
个 元 素 简 单 相 乘 的 结果 称 为 ALE(Annual Loss Expectancy) 或 EAC(Estimated Annual 
Cost) 。 理 论 上 可 以 依据 ALE 计算 威胁 事件 的 风险 等 级 ,并且 做 出 相应 的 决策 。James W. 
Meritt 提出 了 一 种 定量 风险 评估 方法 。 该 方法 首先 评估 特定 资产 的 价值 V, 把 信息 系统 分 
解 成 各 个 组 件 , 这 样 更 加 有 利于 整个 系统 的 定价 ,一 般 按 功能 单元 进行 分 解 ; 其 次 根据 客 
观 数据 计算 威胁 的 频率 P; 最 后 计算 威胁 影响 系数 y, 因 为 对 于 每 一 个 风险 ,并 不 是 所 有 的 
资产 所 遭受 的 危害 程度 都 是 一 样 的 ,程度 的 范围 可 能 从 无 危害 到 彻底 危害 ( 即 完全 破坏 ) 。 
根据 上 述 三 个 参数 ,并 通过 以 下 公式 计算 ALE: 

ALE=VxPxp 
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定量 风险 分 析 方 法 要 求 特别 关注 资产 的 价值 和 威胁 的 量化 数据 ,但 是 这 种 方法 存在 一 
个 问题 ,就 是 数据 的 不 可 靠 和 不 精确 。 对 于 某 些 类 型 的 安全 威胁 ,存在 可 用 的 信息 。 例 如 ， 
可 以 根据 频率 数据 估计 人 们 所 处 区 域 的 自然 灾害 发 生 的 可 能 性 (如 洪水 和 地 震 )。 也 可 以 用 
事件 发 生 的 频率 估计 一 些 系统 问题 的 概率 ,例如 系统 崩溃 和 感 当 病毒。 但 是 ,对 于 一 些 其 他 
类 型 的 威胁 来 说 ,不 存在 频率 数据 ,影响 和 概率 很 难 是 精确 的 。 此 外 ,控制 和 对 策 措施 可 以 
减 小 威胁 事件 发 生 的 可 能 性 ,而 这 些 威胁 事件 之 间 又 是 相互 关联 的 。 这 将 使 定量 评估 过 程 
非常 耗 时 和 困难 。 

鉴于 以 上 难点 ,可 以 用 客观 概率 和 主观 概率 相 结 合 的 方法 。 应 用 于 没有 直接 根据 的 情 
形 , 可 能 只 能 考虑 一 些 间 接 信息 、 有 根据 的 猜测 、 直 觉 或 者 其 他 主观 因素 , 称 为 主观 概率 。 应 
用 主观 概率 估计 由 人 为 攻击 产生 的 威胁 需要 考虑 一 些 附加 的 威胁 属性 ,如 动机 、 手 段 和 机 
会 等 。 


4. 基于 知识 的 评估 和 基于 模型 的 评估 


基于 知识 的 风险 评估 方法 主要 是 依靠 经 验 进 行 的 ,经 验 从 安全 专家 处 获取 并 赁 此 来 解 
决 相似 场景 的 风险 评估 问题 。 这 种 方法 的 优越 性 在 于 能 够 直接 提供 推荐 的 保护 措施 、 结 构 
框架 和 实施 计划 。 

Parker，Donn 提出 了 一 种 基于 “良好 实践 ”的 知识 评估 方法 。 该 方法 提出 重用 具有 相 
似 性 企业 (主要 从 企业 的 大 小 、 范 围 以 及 市 场 来 判断 企业 是 否 相 似 ) 的 “良好 实践 ”。 为 了 能 
够 较 好 地 处 理 威胁 和 脆弱 性 分 析 ,该 方法 开发 了 一 个 滥用 和 误 用 报告 数据 库 , 存 储 了 30 年 
来 的 上 千 个 事例 。 同 时 也 开发 了 一 个 扩展 的 信息 安全 框架 ,以 辅助 用 户 制定 全 面 的 ,正确 的 
企业 安全 策略 。 

基于 知识 的 风险 评估 方法 充分 利用 多 年 来 开发 的 保护 措施 和 安全 实践 ,依照 企业 的 相 
似 性 程度 进行 快速 的 安全 实施 和 包装 ,以 减少 企业 的 安全 风险 。 然 而 ,企业 相似 性 的 判定 、 
被 评估 企业 的 安全 需求 分 析 以 及 关键 资产 的 确定 都 是 该 方法 的 制约 点 。 安 全 风险 评估 是 一 
个 非常 复杂 的 任务 ,这 要 求 存在 一 个 方法 既 能 描述 系统 的 细节 又 能 描述 系统 的 整体 。 

基于 模型 的 评估 可 以 分 析出 系统 自身 内 部 机 制 中 存在 的 危险 性 因素 ,同时 又 可 以 发 现 
系统 与 外 界 环境 交互 中 的 不 正常 并 有 害 的 行为 ,从 而 完成 系统 脆弱 点 和 安全 威胁 的 定性 分 
析 。 如 UML 建 模 语言 可 以 用 来 详细 说 明 信 息 系统 的 各 个 方面 : 不 同 组 件 之 间 关 系 的 静态 
图 用 class diagrams 来 表示 ; 用 来 详细 说 明 系 统 的 行动 和 功能 的 动态 图 用 use case 
diagrams 和 sequence diagrams 来 表示 ; 完整 的 系统 使 用 UML diagrams 来 说 明 , 它 是 系统 
体系 结构 的 描述 。 

2001 年 ,BITD 开始 了 CORAS 工程 一 一 安全 危急 系统 的 风险 分 析 平 台 。 该 工程 旨 在 
开发 一 个 基于 面向 对 象 建 模 技 术 的 风险 评估 框架 ,特别 指出 使 用 UML 建 模 技术 。 利 用 建 
模 技 术 在 此 主要 有 三 个 目的 : 第 一 ,在 合适 的 抽象 层次 描述 评估 目标 ; 第 二 ,在 风险 评估 的 
不 同 群 组 中 作为 通信 和 交互 的 媒介 ; 第 三 : 记录 风险 评估 结果 和 这 些 结果 依赖 的 假设 。CC 
准则 和 CORAS 方法 都 使 用 了 半 形 式 化 和 形式 化 规范 。CC 准则 是 通用 的 ,并 不 为 风险 评估 
提供 方法 学 。 然 后 ,相对 于 CC 准则 而 言 ,CORAS 为 风险 评估 提供 方法 学 ,开发 了 具体 的 技 
术 规 范 来 进行 安全 风险 评估 。 

总 之 ,信息 系统 安全 风险 评估 经 历 了 从 手动 评估 到 工具 辅助 评估 的 阶段 ,目前 正在 由 技 
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术 评估 到 整体 评估 发 展 , 由 定性 评估 向 定性 和 定量 相 结合 的 方向 发 展 , 由 基于 知识 (经 验 ) 的 
评估 向 基于 模型 的 评估 方法 发 展 。 在 信息 系统 安全 应 用 领域 ,经 常 要 求 对 一 个 企业 进行 信 
息 安 全 风险 评估 。 要 使 评估 结果 完整 准确 ,必须 考虑 到 企业 的 安全 风险 不 仅仅 是 由 计算 机 
网 络 攻击 所 引起 的 ,而 是 由 技术 基础 结构 .组织 结构 以 及 人 员 等 综合 因素 所 决定 。 也 正 是 由 
于 这 个 原因 ,要 求 信息 安全 风险 评估 必须 考虑 企业 的 方方面面 的 因素 ,同时 也 决定 了 整个 评 
估 过 程 非常 复杂 和 耗 时 。 


C.6 本 章 小 结 


物 联 网 安全 管理 是 指导 和 控制 企业 的 关于 信息 安全 风险 的 相互 协调 活动 。 关 于 信息 安 
全 风险 的 指导 和 控制 活动 ,通常 包括 制订 信息 安全 方针 、 风 险 评估 ,控制 目标 与 方式 选择 、 风 
险 控制 .安全 保证 等 。 而 要 对 企业 的 信息 安全 进行 高 效 、 动 态 的 管理 ,就 必须 依据 信息 安全 
管理 模型 和 信息 安全 管理 标准 构建 企业 的 信息 安全 管理 体系 。 

与 信息 安全 标准 化 相关 的 国际 信息 安全 标准 化 组 织 包 括 : 国际 标准 化 组 织 ` 国 际 电 工 
委员 会 .国际 电信 联盟 、Internet 工程 任务 组 。 

中 国 的 信息 安全 标准 化 组 织 包 括 : 中 国信 息 安全 标准 化 技术 委员 会 、 公 安 部 信息 系统 
安全 标准 化 技术 委员 会 .中 国 通信 标准 化 协会 网 络 与 信息 安全 技术 工作 委员 会 .中国 传感器 
网 络 标准 工作 组 ,中 国 泛 在 网 技术 工作 委员 会 .中国 物 联网 标准 联合 工作 组 。 

信息 安全 管理 模型 是 对 信息 安全 管理 的 一 个 抽象 化 描述 。 它 是 企业 建立 安全 管理 体系 
的 基础 。 目 前 ,在 对 安全 理论 .安全 技术 和 安全 标准 研究 的 基础 上 ,不 同 的 组 织 都 提出 了 相 
应 的 信息 安全 管理 模型 。 这 些 模 型 的 侧重 点 各 有 不 同 ,信息 安全 的 管理 方式 也 不 同 。 典 型 
的 信息 安全 管理 模型 包括 OSI 安全 体系 结构 模型 .P2DR 模型 .PDRR 模型 .PDCA 持续 改 
进 模型 和 HTP 模型 等 。 

2000 年 12 月 ,国际 标准 化 组 织 ISO 正式 发 布 了 有 关 信 息 安 全 的 国际 标准 (国际 信息 安 
全 管理 标准 体系 》(ISO 17799) ,这 个 标准 包括 信息 系统 安全 管理 和 安全 认证 两 大 部 分 ,是 参 
照 英国 国家 标准 BS 7799 发 展 而 来 的 。 

《信息 安全 管理 实施 细则 》(BS 7799-Part 1) 是 企业 建立 并 实施 信息 安全 管理 体系 的 一 
个 指导 性 的 准则 ,主要 为 企业 制订 其 信息 安全 策略 和 进行 有 效 的 信息 安全 控制 提供 了 一 个 
大 众 化 的 最 佳 范例 .《 信 息 安全 管理 体系 规范 》(BS 7799-Part 2) 规 定 了 建立 、 实 施 和 文件 化 
信息 安全 管理 体系 (ISMS) 的 要 求 ,规定 了 根据 独立 企业 的 需要 应 实施 安全 控制 的 要 求 。 

信息 安全 管理 体系 的 基础 是 PDCA 过 程 模 式 的 应 用 ,而 PDCA 过 程 模式 的 理论 基础 是 
戴 明 环 ,包括 计划 (Plan) ,实施 (Do) ,检查 (Check) 和 改进 (Action)4 个 步骤 。 

2002 年 4 月 ,中 国 成 立 了 “全 国信 息 安 全 标准 化 技术 委员 会 (TC260)”, 该 标 委 会 是 在 
信息 安全 的 专业 领域 内 ,从 事 信息 安全 标准 化 工作 的 技术 工作 组 织 。 信 息 安 全 标 委 会 设置 
了 10 个 工作 组 ,其 中 信息 安全 管理 ( 含 工 程 与 开发 ) 工 作 组 (WG7) 负 责 对 信息 安全 的 行政 、 
技术 .人 员 等 管理 提出 规范 要 求 及 指导 指南 , 它 包 括 信息 安全 管理 指南 、 信 息 安 全 管理 实施 
规范 人员 培 训 教育 及 录用 要 求 、 信 息 安全 社会 化 服务 管理 规范 .信息 安 全 保险 业务 规范 框 
架 和 安全 策略 要 求 与 指南 。 

在 信息 安全 领域 ,对 信息 系统 进行 风险 评估 十 分 重要 ,其 最 终 目的 就 是 要 指导 决策 者 在 
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“投资 成 本 ”和 “安全 级 别 " 这 两 者 之 间 找 到 平衡 ,从 而 为 等 级 化 的 资产 风险 制定 保护 策略 和 
缓和 计划 。 信 息 安全 风险 评估 方法 经 历 了 从 手工 评估 到 半自动 化 评估 的 阶段 ,目前 正在 由 
技术 评估 向 整体 评估 发 展 ,由 定性 评估 向 定性 和 定量 评估 相 结 合 的 方法 发 展 ,由 基于 知识 的 
评估 向 基于 模型 的 评估 方法 发 展 。 


像 习 思 考题 


. 物 联网 安全 管理 的 含义 是 什么 ? 

. 信息 安全 管理 体系 的 主要 内 容 是 什么 ? 

. 信息 安全 标准 化 组 织 主要 包括 哪些 国际 组 织 和 中 国 组 织 ? 
. 请 简要 说 明 各 种 典型 的 信息 安全 管理 模型 。 

. 英国 BS 7799-Part 1 标准 的 主要 内 容 是 什么 ? 

. 英国 BS 7799-Part 2 标准 的 主要 内 容 是 什么 ? 

. PDCA 过 程 模式 的 主要 内 容 是 什么 ? 

. 中国 政府 在 信息 安全 标准 化 领域 做 了 哪些 工作 ? 

.信息 安全 风险 评估 有 哪些 常用 的 方法 ? 


coo 门口 四 上 oo 


和 


模拟 试题 一 


、 单 项 选择 题 (每 小 题 2 分 ,本 大 题 共 20 分 ) 


. 物 联网 的 概念 最 早 是 在 ( ) 年 由 美国 麻 省 理工 学 院 凯 文 奥 斯 通 教授 提出 的 。 


A. 1988 B. 1989 C. 1990 D. 1991 
2. 在 物 联 网 体系 结构 中 ,传感器 位 于 物 联网 的 ( ) 层 。 
A. 感知 B. 传输 C. 网 络 D. 应 用 
3. RFID 是 一 种 ( ) 识 别 技术 。 
A. 红外 线 B. 紫外 线 C. 射频 D. 超声 波 
4. ZigBee 是 一 种 ( ) 无 线 通信 技术 。 
A. 近 距 离 B. 中 距离 C. 远 距 离 D. 超 远 距离 
5. IPv6 中 地 址 长 度 为 ( ) 位 。 
A. 32 B. 64 C. 128 D. 256 
6. 以 下 属于 非 对 称 加 密 技术 的 是 ( js 
A. DES B. AES C. IDEA D. RSA 
7. 入 侵 检测 技术 可 以 分 为 异常 检测 和 ( ) 检 测 两 大 类 。 
A. 正常 B. 误 用 C. 适用 D. 认证 
8. 无 线 城 域 网 的 国际 标准 是 ( Ds 
A. 802.3 B. 802.14 C. 802.15 D. 802.16 
9. 云 计算 安全 关键 技术 包括 ( ) 安 全 技术 、 海 量 用 户 的 身份 认证 、 隐 私 保护 与 数据 
安全 技术 。 
A. 云 计 算 平台 B. 数据 管理 C. 数据 存储 D. 虚拟 机 


10. BS 7799 是 由 ( ) 提 出 的 信息 安全 管理 标准 。 


A. 英国 B. 德国 C. 美国 D. 日 本 


二 、 填空 题 ( 每 小 题 4 分 ,本 大 题 共 20 分 ) 


LR 
2. 
3. 


物 联 网 的 四 个 特征 是 ’ o 
一 套 完整 的 RFID 系统 包括 站 和 等 组 成 部 分 。 
RFID 系统 的 物理 安全 机 制 包括 、 最 


等 五 类 。 


4. 
5. 


无 线 传感器 网 络 系统 通常 包括 
云 计 算 的 服务 可 以 分 为 三 个 层次 : 


三 、 名 词 解释 (每 小 题 4 分 ,本 大 题 共 20 分 ) 
1. 对 称 加 密 算法 


3. 防火 墙 技术 


4. 数据 库 保 护 


5. 隐私 


模拟 试题 一 


321 


MY 
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™Y 


四 、 简 答题 (每 小 题 8 分 ,本 大 题 共 40 分 ) 
1. 请 画图 表示 物 联网 的 体系 结构 ,并 分 别 说 明 每 一 层 实现 的 功能 。 


2. 请 简要 说 明 物 联网 云 计算 平台 的 安全 机 制 。 


3. PKI 的 优势 主要 表现 在 哪些 方面 ? 


4. RFID 系统 安全 的 密码 机 制 包括 哪些 典型 的 安全 认证 协议 ? 


5. 什么 是 黑客 ? 黑客 常用 的 攻击 方法 包括 哪些 ? 


模拟 试题 二 


一 、 单 项 选择 题 (每 小 题 2 分 ,本 大 题 共 20 分 ) 
1.“ 感 知 中 国 ” 的 概念 是 温家宝 总 理 在 ( ) 年 提出 的 。 


A. 2008 B. 2009 C. 2010 D. 2011 
2. 在 物 联 网 体系 结构 中 , 云 计算 平台 位 于 物 联 网 的 ( ) 层 。 
A. 感知 B. 传输 C. 网 络 D. 应 用 
3.， WiMAX 是 一 种 无 线 ( ) 网 技术 。 
A. 个 域 B. 局 域 C. 城 域 D. 广 域 
4. 蓝牙 是 一 种 ( ) 无 线 通信 技术 。 
A. 近 距 离 B. 中 距离 C. 远 距 离 D. 超 远 距 离 
5. IPv4 中 地 址 长 度 为 ( ) 位 。 
A. 32 B. 64 C. 128 D. 256 
6. 以 下 属于 对 称 加 密 技术 的 是 ( ) 。 
A. DES B. RSA C. 椭圆 曲线 EC 
7. 入 侵 检测 技术 可 以 分 为 ( ) 检 测 和 误 用 检测 两 大 类 。 
A. 正常 B. 异常 C. 适用 D. 认证 
8. 无 线 传感器 网 络 网 络 层 安全 协议 SPINS 包括 SNEP 协议 和 ( ) 协 议 两 部 分 。 
A. TESLA B. TESLA C. LEACH D. Rumor 


9. 从 工作 原理 来 分 类 ,防火 墙 可 以 分 为 四 类 : 网 络 级 防火 墙 、 应 用 级 网 关 、( ) 、 规 
则 检查 防火 墙 。 
A. 感知 级 防火 墙 、”B. 感知 级 网 关 C. 电路 级 网 关 D. 软件 级 网 关 
10. 国际 标准 化 组 织 (ISO) 的 总 部 位 于 ( 
A. 伦敦 B. 东京 C. 纽约 D. 日 内 瓦 


二 、 填空 题 (每 小 题 4 分 ,本 大 题 共 20 分 ) 


1. 物 联 网 系统 面临 的 安全 威胁 主要 包括 x 和 
等 七 个 方面 。 

2. 无 线 传感器 网 络 分 布 式 的 密 钥 管理 方案 包括 和 

3. RFID 系统 的 密码 安全 机 制 包括 
等 。 

4. 近 距 离 无 线 网 络 可 以 分 为 

5. GPS 全 球 卫 星 定位 系统 包括 : x 等 三 大 部 人 外; 


324。” 物 联网 安全 技术 


三 、 名 词 解释 (每 小 题 4 分 ,本 大 题 共 20 分 ) 
1. 非 对 称 加 密 算法 


2. 公 钥 基础 设施 


3. 人 入侵 检测 技术 


4. RFID 


5. 云 计 算 


四 、 简 答题 (每 小 题 8 分 ,本 大 题 共 40 分 ) 
1. 请 画图 表示 RFID 的 系统 结构 ,并 分 别 说 明 每 一 个 组 成 部 分 的 功能 。 


2. 请 简要 说 明 DES 算法 的 工作 原理 。 


3. 请 简要 说 明 喻 希 链 (hash-chain) 协 议 的 工作 原理 。 


4. 请 简要 说 明 RFID 中 间 件 的 工作 原理 。 


5. 什么 是 数据 安全 ? 数据 安全 的 要 素 体现 在 哪些 方面 ? 


模拟 试题 二 
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地 址 : 北京 海淀 区 双 清 路 学 研 大 厦 A 座 707 


邮 编 : 100084 


电 话 : 010 一 62770175 一 4604 


资源 下 载 : http://www.tup.com.cn 


扫 一 扫 
资源 下 载 、 样 书 申 请 
新 书 推荐 .技术 交流 


电子 邮件 : weij@tup. tsinghua. edu. cn 
QQ: 883604( 请 写 明 您 的 单位 和 姓名 ) 


用 微 信 扫 一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社 公 众 号 “ 书 圈 ”。 


